[Résolu]System - rapport HijackThis

[DeltaHelp]

Bonjour a tous =)

 

Je me permet de creer un sujet, pour demander un peu d'aide.

Je soupsonne mon PC d'etre infecté, peut etre par system.exe.

 

J'essaye d'etre le plus precis possible, mais si besoin, je n'hesiterai pas a apporter d'autres elements utiles.

 

Symptomes :

-A chaque demarrage de mon PC, le dossier Systeme ( C: -> Windows -> System ) s'ouvre tout seul.

-Aucune possibilité depuis "l'infection" d'interragir avec un disque amovible ( E: ), qu'il soit du type clef USB / disque dur externe / peripherique de stockage de mass (iPod) .

-(ayant tout de meme fait des recherches avant de vous deranger, je n'ai pas les autres symptome de System.exe, a savoir l'utilisation incontrolé de la memoir par System.exe, ou connexion internet lente ou quasi nul.)

 

Config :

Operating System: Windows XP Home Edition (5.1, Build 2600) Service Pack 2 (2600.xpsp_sp2_gdr.070227-2254)

Language: French (Regional Setting: French)

Language: French (Regional Setting: French)

System Manufacturer: Dell Computer Corporation

System Model: DIM4400

BIOS: Default System BIOS

Processor: Intel® Pentium® 4 CPU 1.70GHz

Memory: 768MB RAM

Windows Dir: C:\WINDOWS

DirectX Version: DirectX 9.0c (4.09.0000.0904)

 

IE.7 / freebox HD 20meg

 

Protections :

-Panda antivirus 2008 (version d'evaluation)

-AVG anti-spyware 7.5 (version d'evaluation)

-Par feu Windows

-HijackThis

(tous MAJ)

 

analyse antivirus 2x/semaine

analyse spyware 4x/semaine

 

C/C rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:46:15, on 13/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Security\Panda Antivirus 2008\pavsrv51.exe

C:\Program Files\Panda Security\Panda Antivirus 2008\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Panda Security\Panda Antivirus 2008\PsCtrls.exe

C:\Program Files\Panda Security\Panda Antivirus 2008\PsImSvc.exe

C:\Program Files\Panda Security\Panda Antivirus 2008\ApvxdWin.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Panda Security\Panda Antivirus 2008\WebProxy.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\uTorrent\uTorrent.exe

C:\DOCUME~1\Delta\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: load=System

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,System

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [LanzarL2007] "C:\DOCUME~1\Delta\LOCALS~1\Temp\{CCE6D3F9-F25D-4735-A3E6-6F3BDCD2A384}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x040c"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1199184499218

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab2.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jin...ows-i586-jc.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{74FF15DE-156E-43D8-96F3-060038B5A760}: NameServer = 212.27.54.252,212.27.53.252

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\PsCtrls.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\PsImSvc.exe

 

--

End of file - 6325 bytes

 

Autres :

analyse en ligne par panda, panda, avg, n'ont rien detecté sur mon PC. Cependant, d'apres un rapport d'analyse de Panda, (alors que sur l'analyse, rien) il enregistre " Logiciel publicitaire detecté : adware/superspider emplacement c:\windows\system.exe 13/01/08 Eliminé.

 

 

 

Je suis au courant, en lisant les autres sujets, qu'il existe des problemes bien plus problematique que le mien, mais si quelqu'un passant par ici peu m'aider s'il vous plait =)

Merci d'avance pour votre temps, Delta (qui refresh sa page internet avec espoir :-/ )

Modifié le 16 janvier 2008 par DeltaHelp

[Gof]

Bonsoir DeltaHelp

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Au boulot

 

~~~~

 

 

Télécharge Flashdisinfector de sUBs sur ton bureau.

• Branche tes supports amovibles (clés usb, lecteurs divers, cartes flash, etc), démarre les (disques dur externes par exemple) pour ceux qui le devraient.
  
• Double-clique sur Flash_Disinfector.exe.
  
• Cela sera très rapide, un message t'informera de la fin du fix.
  Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prends soin de ne pas laisser de documents (word, excel) sur lesquels tu travailles ouvert à ce moment la.
  
• Si tu as beaucoup de clés à désinfecter, tu peux renouveler l'opération en branchant les clés non traitées une à une.
  

Relance un scan HijackThis

• Clique sur Do a system scan only et coche les lignes ci-dessous :
  

• F3 - REG:win.ini: load=System
  

• Ferme toutes les fenêtres sauf HijackThis et Fix Checked.
  

• Télécharge AVG AS - Mets le à jour.
  Ferme AVG AS. Ne pas le lancer tout de suite.
  Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_AVG_AntiSpyware.php
  

• Télécharge ATF Cleaner par Atribune.
  

-Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

• Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

• Clique Exit, du menu prinicipal, afin de fermer le programme.
  

• Lance AVG AS et clique sur Analyse
  
• Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine
  
• Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre
  
• Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions
  
• Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau
  

 

 

Redémarre en mode normal et poste :

• le rapport AVG AS
  
• un nouveau log hijackthis
  

 

Profites en pour donner des nouvelles du pc. As tu récupéré l'ouverture des supports amovibles ? As-tu tooujours otn souci avec "system" ?

 

A bientôt.

[DeltaHelp]

Merci a toi Gof, pour ton temps et tes conseils =)

 

J'ai suivi etape par etape (sans en ajouter ni passer) et c'est tres facile d'acces meme pour un novice comme moi, merci.

 

Donc, apres tout le petit bidouillage

 

Voila le rapport HijackThis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:26:26, on 14/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1199184499218

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab2.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jin...ows-i586-jc.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{74FF15DE-156E-43D8-96F3-060038B5A760}: NameServer = 212.27.54.252,212.27.53.252

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 5397 bytes

 

 

Celui de AVG AS

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 17:54:28 14/01/2008

 

+ Résultat de l'analyse:

 

 

 

Rien à signaler.

 

 

 

Fin du rapport

 

 

J'ai meme opté, en parcourant le forum, pour AntiVir a la place du mangeur de bambou, ca m'a permis de me debarasser de certain "WORM" d'ailleurs.

 

 

AntiVir PersonalEdition Classic

Report file date: lundi 14 janvier 2008 18:27

 

Scanning for 1027920 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: SYSTEM

Computer name: ***

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 17:36:24

ANTIVIR2.VDF : 7.0.1.205 620544 Bytes 08/01/2008 17:36:24

ANTIVIR3.VDF : 7.0.1.227 161280 Bytes 11/01/2008 17:36:24

AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 13/01/2008 17:36:24

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.2 360488 Bytes 13/01/2008 17:36:25

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: lundi 14 janvier 2008 18:27

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'WLLoginProxy.exe' - '1' Module(s) have been scanned

Scan process 'iexplore.exe' - '1' Module(s) have been scanned

Scan process 'wuauclt.exe' - '1' Module(s) have been scanned

Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'guard.exe' - '0' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'jusched.exe' - '1' Module(s) have been scanned

Scan process 'Reader_SL.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'avgas.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

26 processes with 26 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[NOTE] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '21' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

 

 

End of the scan: lundi 14 janvier 2008 18:28

Used time: 00:34 min

 

The scan has been canceled!

 

320 Scanning directories

2069 Files were scanned

0 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

2069 Files not concerned

32 Archives were scanned

2 Warnings

0 Notes

 

 

Les bonnes nouvelles, mon PC n'ouvre plus le dossier System a chaque demarage, et je peux enfin interagir avec mes disques amovibles :') .

En esperant que mon didi est desormais tout propre, encore M E R C I a toi Gof ! =]

[Gof]

Bonjour DeltaHelp

 

Bien, bon travail.

 

Tu as été infecté notamment par une infection se propageant par supports amovibles. J'espère que tu as suivi mes consignes en prenant soin de bien brancher tous tes supports avant d'exécuter flash disinfector ? Puis, bien sur, de les laisser brancher lors des analyses des différents outils ?

 

Je te recommande la lecture de ce sujet : Infections par supports amovibles

Cela te permettra de mieux comprendre comment fonctionnent ces infections, et comment facilement s'en prôtéger.

 

Le rapport AVG AS est propre, et le rapport Antivir que tu m'as communiqué l'est également. Pourtant tu m'as dit qu'Antivir avait détecté quelques fichiers infectieux ?

 

Le rapport HijackThis ne révèle rien de malveillant. Réponds à mes petites questions, et génère un rapport comme ceci je te prie :

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse le, sur ton bureau par exemple.
  
• Un nouveau dossier chercher va être créé DiagHelp.
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.
  

A bientôt.

[DeltaHelp]

Bonjour Gof !

 

Alors :

 

"Tu as été infecté notamment par une infection se propageant par supports amovibles. J'espère que tu as suivi mes consignes en prenant soin de bien brancher tous tes supports avant d'exécuter flash disinfector ? "

 

Oui !

 

"Puis, bien sur, de les laisser brancher lors des analyses des différents outils ?"

 

Au fait je n'ai jamais fait d'analyse anti virus sur mes supports amovibles, car pour moi, a tord (et j'ai appris), une clef USB ou un disque externe ne se connecte pas a internet, donc, pas de virus.

J'ai donc commencer une analyse avec AntiVir sur la mes supports amovibles, et la, j'ai eu mes surprises

 

AntiVir PersonalEdition Classic

Report file date: mardi 15 janvier 2008 13:08

 

Scanning for 1033234 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Delta

Computer name: ***

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 17:36:24

ANTIVIR2.VDF : 7.0.1.205 620544 Bytes 08/01/2008 17:36:24

ANTIVIR3.VDF : 7.0.1.236 231936 Bytes 14/01/2008 17:42:04

AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 13/01/2008 17:36:24

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.2 360488 Bytes 13/01/2008 17:36:25

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: ShlExt

Configuration file...............: C:\DOCUME~1\Delta\LOCALS~1\Temp\c70506c8.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: E:,

Scan memory......................: on

Process scan.....................: off

Scan registry....................: off

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: mardi 15 janvier 2008 13:08

 

Starting the file scan:

 

Begin scan in 'E:\' <***>

E:\Program Files\Panda Software\Panda Antivirus 2007\Pskavs.dll

[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738

[iNFO] The file was deleted!

E:\Program Files\A4Tech\Mouse\Uninst32.exe

[DETECTION] Contains detection pattern of the Windows virus W95/CIH (inactive)

[iNFO] The file was deleted!

E:\Recycled\INFO.EXE

[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1

[iNFO] The file was deleted!

 

 

End of the scan: mardi 15 janvier 2008 13:47

Used time: 39:30 min

 

The scan has been done completely.

 

2607 Scanning directories

92225 Files were scanned

3 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

3 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

0 Files cannot be scanned

92222 Files not concerned

259 Archives were scanned

0 Warnings

6 Notes

 

 

 

AntiVir PersonalEdition Classic

Report file date: mardi 15 janvier 2008 13:07

 

Scanning for 1033234 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Delta

Computer name: ***

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 17:36:24

ANTIVIR2.VDF : 7.0.1.205 620544 Bytes 08/01/2008 17:36:24

ANTIVIR3.VDF : 7.0.1.236 231936 Bytes 14/01/2008 17:42:04

AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 13/01/2008 17:36:24

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.2 360488 Bytes 13/01/2008 17:36:25

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: ShlExt

Configuration file...............: C:\DOCUME~1\Delta\LOCALS~1\Temp\c15c3c5b.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: F:,

Scan memory......................: on

Process scan.....................: off

Scan registry....................: off

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: mardi 15 janvier 2008 13:07

 

Starting the file scan:

 

Begin scan in 'F:\'

F:\Recycled\INFO.EXE

[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1

[iNFO] The file was deleted!

 

 

End of the scan: mardi 15 janvier 2008 13:08

Used time: 00:27 min

 

The scan has been done completely.

 

14 Scanning directories

107 Files were scanned

1 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

1 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

0 Files cannot be scanned

106 Files not concerned

1 Archives were scanned

0 Warnings

0 Notes

 

Pour le premier rapport, il s'agit de mon iPod (pour pas le nommer :'[ ), c'est celui que j'ai depuis le plus longtemps.

En ce qui concerne le 2eme rapport je n'en ai mis qu'un seul, car il est representatif de mes autres clef USB et disques externes, tous ont ce meme et unique " \Recycled\INFO.EXE WORM/VB.NPM.1" (et je suis d'ailleurs encore surpris qu'aucune clef sans exeptions n'y a echapper)

 

Ceci implique un autre petit probleme, une fois l'analyse finis, et les virus supprimés, une sorte de retour a la case depart, je ne peut plus (re)interagir avec mes supports amovibles, j'ai donc refait une desinfection avec flash disinfector, et depuis, c'est bon, mais cela me laisse perplexe :-/

 

"Je te recommande la lecture de ce sujet : Infections par supports amovibles"

 

Et merci =) j'ai d'ailleurs appris que introduire ma clef dans une bibliotheque municipale est a mes risques :'(

 

"Le rapport AVG AS est propre, et le rapport Antivir que tu m'as communiqué l'est également. Pourtant tu m'as dit qu'Antivir avait détecté quelques fichiers infectieux ?"

 

Lors de mon attente de ta reponse (je ne savais donc pas que tu allais repondre : p ) j'ai essayer par moi meme de recolter le plus d'informations possible, et le premier que j'ai eu, c'est d'installer Antivir, en attendant une reponse, j'ai donc lancé une analyse avec comme espoir de resoudre le probleme par moi meme (mais pas le cas :-/ )

Le rapport AntiVir, premier du nom sur mon PC, donne

 

AntiVir PersonalEdition Classic

Report file date: dimanche 13 janvier 2008 18:44

 

Scanning for 1027920 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: SYSTEM

Computer name: ***

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 17:36:24

ANTIVIR2.VDF : 7.0.1.205 620544 Bytes 08/01/2008 17:36:24

ANTIVIR3.VDF : 7.0.1.227 161280 Bytes 11/01/2008 17:36:24

AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 13/01/2008 17:36:24

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.2 360488 Bytes 13/01/2008 17:36:25

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: dimanche 13 janvier 2008 18:44

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'uTorrent.exe' - '1' Module(s) have been scanned

Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned

Scan process 'wuauclt.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned

Scan process 'guard.exe' - '0' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'jusched.exe' - '1' Module(s) have been scanned

Scan process 'Reader_SL.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'avgas.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

27 processes with 27 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[NOTE] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '21' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Delta\Local Settings\Temp\ISSCAN\pskavs.dll

[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6D86F250-8CC3-4712-BD78-2EB5CF457D74}\RP22\A0032857.dll

[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738

[iNFO] The file was deleted!

C:\WINDOWS\Config\Svchost.exe

[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1

[iNFO] The file was deleted!

C:\WINDOWS\Config\System.exe

[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1

[iNFO] The file was deleted!

C:\WINDOWS\system32\ActiveScan\pskavs.dll

[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738

[iNFO] The file was deleted!

 

 

End of the scan: dimanche 13 janvier 2008 19:09

Used time: 25:35 min

 

The scan has been done completely.

 

1837 Scanning directories

95465 Files were scanned

5 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

5 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

95460 Files not concerned

1024 Archives were scanned

2 Warnings

3 Notes

 

J'y retrouve d'ailleurs WORM/VB.NPM.1 et W95/Blumblebee.1738 (qui d'ailleurs par la suite, a trouver logis dans "systeme volume information" ou quelque chose comme ca)

 

En ce qui concerne "DiagHelp.zip" j'ai un peu de soucis (alors que tu fait tout pour que ce soit simple) lors de son analyse, AntiVir detecte un virus (TR/Inject.MF), un virus qu'il ne detecte pas si je lance une analyse comme ca :'[ , et pour le rapport, est ce le fichier "Catchme" ou "resultats" ? :-/

 

Ce post la est bien long, desolé de te faire subir ca

[Gof]

Bonjour DeltaHelp

 

je ne peut plus (re)interagir avec mes supports amovibles, j'ai donc refait une desinfection avec flash disinfector, et depuis, c'est bon, mais cela me laisse perplexe :-/

C'est uniquement dû au petit fichier "autorun.inf" qui était détourné sur un fichier infectieux qui n'existait plus. La lecture de l'article t'a permis normalement d'y voir plus clair, non ?

 

Vu pour les rapports. Je pense qu'il y a deux faux positifs dans les détections d'Antivir : c'est à dire qu'il a déclaré des fichiers comme infectieux alors qu'ils ne l'étaient pas :

• E:\Program Files\Panda Software\Panda Antivirus 2007\Pskavs.dll
  C:\WINDOWS\system32\ActiveScan\pskavs.dll
  C:\Documents and Settings\Delta\Local Settings\Temp\ISSCAN\pskavs.dll
  [DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
  

Il s'agit ici de Panda. Les antivirus ont tendance à se détecter les uns les autres comme dangereux. S'il s'agit de l'outil d'analyse en ligne, ce n'est pas bien grave.

• E:\Program Files\A4Tech\Mouse\Uninst32.exe
  [DETECTION] Contains detection pattern of the Windows virus W95/CIH (inactive)
  

Là aussi je pense qu'il s'agit d'un faux positif. Il faudrait voir si tu peux restaurer ce fichier dans la quarantaine d'antivir, et le soumettre à une analyse en ligne sur le lien suivant comme indiqué ci-dessous :

 

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
  
• Rends toi jusque sur le fichier restauré
  
• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

 

Antivir réagit à la présence de certains outils contenus dans Diaghelp : désactive le "guard" (clic droit sur le parapluie, désactiver) le temps de son utilisation.

 

Le rapport à poster est un rapport qui s'ouvre tout seul en fin d'analyse par Diaghep, tu n'as pas à aller ouvrir un fichier.

 

A bientôt.

[DeltaHelp]

C'est compris =)

 

Voila le rapport DiagHelp

(je precise que durant l'execution, AntiVir detecte un virus, et que la fenetre de la commande, de couleure noire, passe au rouge)

 

DiagHelp version v1.4 - http://www.malekal.com

excute le 15/01/2008 à 17:57:13,40

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->15/01/2008 17:57:11

C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->15/01/2008 17:57:01

C:\WINDOWS\prefetch\NOTEPAD.EXE-2F2D61E1.pf -->15/01/2008 17:51:04

C:\WINDOWS\prefetch\IEXPLORE.EXE-2D97EBE6.pf -->15/01/2008 17:50:42

C:\WINDOWS\prefetch\GZIP.EXE-25D659B0.pf -->15/01/2008 17:49:05

C:\WINDOWS\prefetch\NTVDM.EXE-0A81AB7B.pf -->15/01/2008 17:49:00

C:\WINDOWS\prefetch\SORT.EXE-19728AC5.pf -->15/01/2008 17:48:56

C:\WINDOWS\prefetch\REG.EXE-07FA5B3F.pf -->15/01/2008 17:48:29

C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->15/01/2008 17:48:29

C:\WINDOWS\prefetch\KPROCCHECK.EXE-02CF7799.pf -->15/01/2008 17:48:28

 

C:\WINDOWS\System32\drivers\avipbb.sys -->13/01/2008 18:36:25

C:\WINDOWS\System32\drivers\secdrv.sys -->13/11/2007 11:25:54

C:\WINDOWS\System32\drivers\tcpip.sys -->30/10/2007 18:20:55

C:\WINDOWS\System32\drivers\avgntdd.sys -->09/08/2007 13:04:11

C:\WINDOWS\System32\drivers\avgntmgr.sys -->18/07/2007 14:22:19

C:\WINDOWS\System32\drivers\SDTHOOK.SYS -->17/07/2007 13:00:02

C:\WINDOWS\System32\drivers\AvgAsCln.sys -->30/05/2007 13:10:42

 

C:\WINDOWS\System32\nvapps.xml -->15/01/2008 17:42:00

C:\WINDOWS\System32\wpa.dbl -->15/01/2008 15:08:08

C:\WINDOWS\System32\asfiles.txt -->13/01/2008 14:46:53

C:\WINDOWS\System32\Uninstall.ico -->13/01/2008 14:46:39

C:\WINDOWS\System32\pavas.ico -->13/01/2008 14:46:38

C:\WINDOWS\System32\Help.ico -->13/01/2008 14:46:38

C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->10/01/2008 16:39:45

C:\WINDOWS\System32\MRT.exe -->02/01/2008 19:21:36

C:\WINDOWS\System32\PerfStringBackup.INI -->01/01/2008 13:28:08

C:\WINDOWS\System32\perfh00C.dat -->01/01/2008 13:28:08

C:\WINDOWS\System32\perfh009.dat -->01/01/2008 13:28:08

C:\WINDOWS\System32\perfc00C.dat -->01/01/2008 13:28:08

C:\WINDOWS\System32\perfc009.dat -->01/01/2008 13:28:08

C:\WINDOWS\System32\FNTCACHE.DAT -->01/01/2008 13:25:34

C:\WINDOWS\System32\TZLog.log -->01/01/2008 13:23:36

C:\WINDOWS\System32\wpa.bak -->01/01/2008 11:45:44

C:\WINDOWS\System32\h323log.txt -->01/01/2008 02:07:35

C:\WINDOWS\System32\$winnt$.inf -->01/01/2008 01:18:19

C:\WINDOWS\System32\CONFIG.NT -->01/01/2008 01:15:18

C:\WINDOWS\System32\nscompat.tlb -->01/01/2008 01:15:06

C:\WINDOWS\System32\amcompat.tlb -->01/01/2008 01:15:06

C:\WINDOWS\System32\WindowsLogon.manifest -->01/01/2008 01:13:30

C:\WINDOWS\System32\logonui.exe.manifest -->01/01/2008 01:13:30

C:\WINDOWS\System32\wuaucpl.cpl.manifest -->01/01/2008 01:13:20

C:\WINDOWS\System32\sapi.cpl.manifest -->01/01/2008 01:13:20

 

C:\WINDOWS.log -->15/01/2008 17:42:15

C:\WINDOWS\WindowsUpdate.log -->15/01/2008 17:42:04

C:\WINDOWS\bootstat.dat -->15/01/2008 17:41:50

C:\WINDOWS\SchedLgU.Txt -->15/01/2008 17:41:21

C:\WINDOWS\setupapi.log -->15/01/2008 17:01:35

C:\WINDOWS\setupact.log -->15/01/2008 14:27:53

C:\WINDOWS\ntbtlog.txt -->14/01/2008 17:18:38

C:\WINDOWS\pavsig.txt -->13/01/2008 14:46:45

C:\WINDOWS\win.ini -->13/01/2008 14:39:11

C:\WINDOWS\iis6.log -->09/01/2008 12:54:39

C:\WINDOWS\comsetup.log -->09/01/2008 12:54:39

C:\WINDOWS\tsoc.log -->09/01/2008 12:54:38

C:\WINDOWS\ocmsn.log -->09/01/2008 12:54:38

C:\WINDOWS\ntdtcsetup.log -->09/01/2008 12:54:38

C:\WINDOWS\imsins.log -->09/01/2008 12:54:38

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1116

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x44080000 0xcf000 7.00.6000.16574 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x43e00000 0x45000 7.00.6000.16574 C:\WINDOWS\system32\iertutil.dll

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x44360000 0x5cd000 7.00.6000.16574 C:\WINDOWS\system32\ieframe.dll

0x44160000 0x127000 7.00.6000.16574 C:\WINDOWS\system32\urlmon.dll

0x442b0000 0x3c000 7.00.6000.16574 C:\WINDOWS\system32\webcheck.dll

0x10000000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll

0x78130000 0x9b000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll

0x01d20000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x025c0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x02110000 0x13000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll

0x00a90000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 424

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\SYSTEM32\winlogon.exe

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\SYSTEM32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\SYSTEM32\odbcint.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\SYSTEM32\ATL.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\SYSTEM32\COMRes.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\SYSTEM32\CLBCATQ.DLL

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B488-ACB1

 

Répertoire de C:\WINDOWS\system32

 

05/08/2004 13:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 5 162 229 760 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B488-ACB1

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

13/01/2008 15:03 <REP> .

13/01/2008 15:03 <REP> ..

24/08/2006 08:28 141 424 asinst.dll

22/08/2006 09:06 537 asinst.inf

01/01/2008 01:13 65 desktop.ini

20/11/2007 16:04 1 523 536 FP_AX_CAB_INSTALLER.exe

25/09/2007 01:33 1 055 jinstall-6u3.inf

20/11/2007 15:50 247 swflash.inf

29/03/2007 11:07 206 384 sysreqlab2.dll

29/03/2007 11:06 669 SysReqLab2.osd

30/07/2007 19:24 293 wuweb.inf

9 fichier(s) 1 874 210 octets

 

Total des fichiers listés :

9 fichier(s) 1 874 210 octets

2 Rép(s) 5 162 229 760 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"

"C:\\Warhammer Online - Age of Reckoning\\warpatch.exe"="C:\\Warhammer Online - Age of Reckoning\\warpatch.exe:*:Enabled:Warhammer Online - Age of Reckoning"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-15 17:58:33

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

IPC error: 2 Le fichier spécifié est introuvable.

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

392 - csrss.exe

424 - winlogon.exe

468 - services.exe

480 - lsass.exe

624 - svchost.exe

700 - svchost.exe

740 - svchost.exe

864 - svchost.exe

1116 - explorer.exe

1160 - avguard.exe

1364 - avgas.exe

1412 - avgnt.exe

1420 - ctfmon.exe

1640 - sched.exe

1652 - guard.exe

4764 - cmd.exe

 

Total number of processes = 17

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806EC000 - \WINDOWS\system32\hal.dll

F7A2F000 - \WINDOWS\system32\KDCOM.DLL

F793F000 - \WINDOWS\system32\BOOTVID.dll

F74DF000 - ACPI.sys

F7A31000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

F74CE000 - pci.sys

F752F000 - isapnp.sys

F7A33000 - intelide.sys

F77AF000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F753F000 - MountMgr.sys

F74AF000 - ftdisk.sys

F77B7000 - PartMgr.sys

F754F000 - VolSnap.sys

F7497000 - atapi.sys

F755F000 - disk.sys

F756F000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F7477000 - fltMgr.sys

F7465000 - sr.sys

F744E000 - KSecDD.sys

F73C1000 - Ntfs.sys

F7394000 - NDIS.sys

F7379000 - Mup.sys

F757F000 - agp440.sys

F760F000 - \SystemRoot\system32\DRIVERS\processr.sys

F6CFA000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys

F6CE6000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F6C08000 - \SystemRoot\system32\DRIVERS\HCF_MSFT.sys

F77EF000 - \SystemRoot\System32\Drivers\Modem.SYS

F761F000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

F77F7000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F77FF000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F7807000 - \SystemRoot\system32\DRIVERS\fdc.sys

F6BF7000 - \SystemRoot\system32\DRIVERS\serial.sys

F79C7000 - \SystemRoot\system32\DRIVERS\serenum.sys

F6BE3000 - \SystemRoot\system32\DRIVERS\parport.sys

F762F000 - \SystemRoot\system32\DRIVERS\imapi.sys

F763F000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F764F000 - \SystemRoot\system32\DRIVERS\redbook.sys

F6BC0000 - \SystemRoot\system32\DRIVERS\ks.sys

F780F000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

F6B9D000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F6B85000 - \SystemRoot\system32\drivers\ac97intc.sys

F6B61000 - \SystemRoot\system32\drivers\portcls.sys

F765F000 - \SystemRoot\system32\drivers\drmk.sys

F7B74000 - \SystemRoot\system32\DRIVERS\audstub.sys

F766F000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F79CF000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F6B4A000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F767F000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F768F000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F7817000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F6B39000 - \SystemRoot\system32\DRIVERS\psched.sys

F769F000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F7827000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F782F000 - \SystemRoot\system32\DRIVERS\raspti.sys

F76AF000 - \SystemRoot\system32\DRIVERS\termdd.sys

F7A3D000 - \SystemRoot\system32\DRIVERS\swenum.sys

F6AE0000 - \SystemRoot\system32\DRIVERS\update.sys

F79DF000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F76CF000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F7837000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

F770F000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F7A5F000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F7A61000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F7B29000 - \SystemRoot\System32\Drivers\Null.SYS

F7A63000 - \SystemRoot\System32\Drivers\Beep.SYS

F7B2A000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys

F7847000 - \SystemRoot\System32\drivers\vga.sys

F7A65000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F7A67000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F784F000 - \SystemRoot\System32\Drivers\Msfs.SYS

F7857000 - \SystemRoot\System32\Drivers\Npfs.SYS

F79FF000 - \SystemRoot\system32\DRIVERS\rasacd.sys

F58E5000 - \SystemRoot\system32\DRIVERS\ipsec.sys

F588D000 - \SystemRoot\system32\DRIVERS\tcpip.sys

F5865000 - \SystemRoot\system32\DRIVERS\netbt.sys

F5843000 - \SystemRoot\System32\drivers\afd.sys

F771F000 - \SystemRoot\system32\DRIVERS\netbios.sys

F785F000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys

F5818000 - \SystemRoot\system32\DRIVERS\rdbss.sys

F57A9000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

F772F000 - \SystemRoot\System32\Drivers\Fips.SYS

F5788000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F773F000 - \SystemRoot\system32\DRIVERS\wanarp.sys

F774F000 - \SystemRoot\system32\DRIVERS\avipbb.sys

F7A69000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys

F7B36000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys

F776F000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F7A2B000 - \SystemRoot\system32\DRIVERS\hidusb.sys

F777F000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

F786F000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

F7105000 - \SystemRoot\system32\DRIVERS\mouhid.sys

F5748000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F7A6F000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F70E5000 - \SystemRoot\System32\drivers\Dxapi.sys

F7877000 - \SystemRoot\System32\watchdog.sys

BF000000 - \SystemRoot\System32\drivers\dxg.sys

F7B64000 - \SystemRoot\System32\drivers\dxgthk.sys

BF012000 - \SystemRoot\System32\nv4_disp.dll

BA534000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

B9A8B000 - \SystemRoot\system32\DRIVERS\mrxdav.sys

B9A26000 - \SystemRoot\system32\drivers\wdmaud.sys

BA3F0000 - \SystemRoot\system32\drivers\sysaudio.sys

B982D000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys

F7AE9000 - \SystemRoot\System32\Drivers\ParVdm.SYS

B9673000 - \SystemRoot\system32\DRIVERS\srv.sys

B9452000 - \SystemRoot\System32\Drivers\HTTP.sys

F787F000 - \SystemRoot\system32\DRIVERS\fbxusb32.sys

F7C64000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

B76E0000 - \SystemRoot\system32\drivers\kmixer.sys

 

Total number of drivers = 112

 

Liste des programmes installes

 

Adobe Flash Player ActiveX

Adobe Reader 8.1.1 - Français

Assistant de connexion Windows Live

AVG Anti-Spyware 7.5

Avira AntiVir PersonalEdition Classic

Correctif pour Windows XP (KB914440)

Correctif Windows XP - KB873339

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB888302

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

HijackThis 2.0.2

Hotfix for Windows XP (KB915865)

Java 6 Update 3

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)

Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921503)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923789)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929123)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB933729)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour de sécurité pour Windows XP (KB936021)

Mise à jour de sécurité pour Windows XP (KB938127)

Mise à jour de sécurité pour Windows XP (KB938829)

Mise à jour de sécurité pour Windows XP (KB941202)

Mise à jour de sécurité pour Windows XP (KB941568)

Mise à jour de sécurité pour Windows XP (KB941569)

Mise à jour de sécurité pour Windows XP (KB941644)

Mise à jour de sécurité pour Windows XP (KB942615)

Mise à jour de sécurité pour Windows XP (KB943460)

Mise à jour de sécurité pour Windows XP (KB943485)

Mise à jour de sécurité pour Windows XP (KB944653)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB904942)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mise à jour pour Windows XP (KB927891)

Mise à jour pour Windows XP (KB930916)

Mise à jour pour Windows XP (KB936357)

Mise à jour pour Windows XP (KB938828)

Mise à jour pour Windows XP (KB942763)

Mise à jour pour Windows XP (KB942840)

NVIDIA Drivers

Panda ActiveScan

System Requirements Lab

VideoLAN VLC media player 0.8.6d

Warhammer Online - Age of Reckoning

WebFldrs XP

Windows Genuine Advantage Validation Tool (KB892130)

Windows Genuine Advantage Validation Tool (KB892130)

Windows Installer 3.1 (KB893803)

Windows Internet Explorer 7

Windows Live installer

Windows Live Messenger

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B488-ACB1

 

Répertoire de C:\Program Files

 

13/01/2008 18:41 <REP> .

13/01/2008 18:41 <REP> ..

06/01/2008 13:04 <REP> Adobe

13/01/2008 18:34 <REP> Avira

01/01/2008 01:11 <REP> ComPlus Applications

10/01/2008 16:37 <REP> Fichiers communs

01/01/2008 12:12 <REP> Grisoft

13/01/2008 15:00 <REP> Internet Explorer

10/01/2008 16:39 <REP> Java

01/01/2008 12:34 <REP> Messenger

01/01/2008 01:15 <REP> microsoft frontpage

01/01/2008 01:12 <REP> Movie Maker

01/01/2008 01:09 <REP> MSN

01/01/2008 01:10 <REP> MSN Gaming Zone

01/01/2008 01:12 <REP> NetMeeting

01/01/2008 01:10 <REP> Online Services

01/01/2008 13:12 <REP> Outlook Express

01/01/2008 01:13 <REP> Services en ligne

01/01/2008 14:51 <REP> SystemRequirementsLab

13/01/2008 16:10 <REP> Trend Micro

01/01/2008 15:13 <REP> uTorrent

01/01/2008 15:11 <REP> VideoLAN

01/01/2008 14:48 <REP> Windows Live

01/01/2008 13:07 <REP> Windows Media Player

01/01/2008 01:10 <REP> Windows NT

01/01/2008 01:15 <REP> xerox

0 fichier(s) 0 octets

26 Rép(s) 5 162 213 376 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B488-ACB1

 

Répertoire de C:\Program Files\fichiers communs

 

10/01/2008 16:37 <REP> .

10/01/2008 16:37 <REP> ..

06/01/2008 13:04 <REP> Adobe

01/01/2008 11:51 <REP> InstallShield

10/01/2008 16:37 <REP> Java

01/01/2008 14:49 <REP> Microsoft Shared

01/01/2008 01:12 <REP> MSSoap

01/01/2008 02:01 <REP> ODBC

01/01/2008 01:12 <REP> Services

01/01/2008 02:01 <REP> SpeechEngines

01/01/2008 13:12 <REP> System

0 fichier(s) 0 octets

11 Rép(s) 5 162 213 376 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B488-ACB1

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

01/01/2008 01:22 <REP> .

01/01/2008 01:22 <REP> ..

18/05/2001 15:57 561 209 MSONSEXT.DLL

03/06/1999 12:09 122 937 MSOWS409.DLL

07/03/2001 07:00 127 033 MSOWS40c.DLL

3 fichier(s) 811 179 octets

2 Rép(s) 5 162 213 376 octets libres

 

 

Attention : C:\autorun.inf existe

 

 

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\catchme.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\diff.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\dumphive.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\find2.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\Fport.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\grep.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\gzip.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\KProcCheck.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\LFiles.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\md5sums.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\pslist.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\sigcheck.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\streams.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\swreg.exe

c:\Documents and Settings\All Users\Documents\DiagHelp\DiagHelp\tar.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\93.71_forceware_winxp2k_international_whql.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\AdbeRdr810_fr_FR.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\antivir_workstation_win7u_en_h.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\ATF-Cleaner.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\dxwebsetup.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\Flash_Disinfector.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\freeusb.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\FullTiltSetup.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\HJTInstall.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\vlc-0.8.6d-win32.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\WLinstaller.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\TcpView\tcpvcon.exe

c:\Documents and Settings\Delta\Bureau\Installeurs\TcpView\Tcpview.exe

c:\Documents and Settings\Delta\Local Settings\Temp\nircmd.exe

c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\avewin32.dll

c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

 

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_POK-CF60955C1AA.tar.gz a l'adresse http://upload.malekal.com

 

 

Merci

[Gof]

Re

 

Bien.

 

Supprime le fichier suivant (indique moi si tu as rencontré des difficultés) :

• C:\WINDOWS\System32\asfiles.txt
  

Puis vide ta corbeille.

 

Comme tu as dû le lire dans le sujet des "infections par supports amovibles", je suggère de "vacciner" les supports fréquemment destinés à faire des aller-retour entre différents PC. Cela permet de se prémunir facilement de ce genre d'infections. Le tout, couplé à une désactivation de l'autorun (par défaut activé), tu seras normalement plus tranquille de ce côté là.

 

Tout cela me semble bon ; comment se comporte le pc ? As tu des soucis encore ? Si ce n'est plus le cas, on procèdera alors à la désinstallation des outils que l'on a utilisés ensemble, et à l'effacement de tes points de restauration pour en recréer un, sain, pour repartir sur des bases saines.

[DeltaHelp]

Re, j'en voit peut etre la fin :')

 

"Supprime le fichier suivant (indique moi si tu as rencontré des difficultés) :

C:\WINDOWS\System32\asfiles.txt

Puis vide ta corbeille. "

 

J'ai donc supprimer ce fichier txt dans cet emplacement C:\WINDOWS\System32\ et rien de special s'est produit a part mon envie de lire le contenu pour decouvrir je ne sait quoi : )

Une fois ce fichier dans la corbeille, j'ai vidé, la non plus, rien ne s'est produit a part la supression.

Pour verifier, j'ai ouvert System32 pour voir si il y etait encore, non.

J'ai donc redemarrer pour voir si ce fichier n'allait pas reapparaitre, non.

Pour finir, j'ai redemarrer, et lancer une analyse AntiVir, rien detecté !

 

Desormais j'essaye de bien comprendre le tutorial sur les supports amovibles, ceci semble a ma portée : p .

 

"comment se comporte le pc ? As tu des soucis encore ?"

 

Mon ordi ce porte actuellemnt tres bien ! :') , pour le moment ^^'

 

"on procèdera alors à la désinstallation des outils que l'on a utilisés ensemble, et à l'effacement de tes points de restauration pour en recréer un, sain, pour repartir sur des bases saines."

 

Sans trop savoir ce qu'il va se passer, j'attend le prochain post, et puis esperer que bientot, mon pc va etre tout propre :]

[Gof]

Bonsoir DeltaHelp

 

Tu as fait du bon boulot. Mais maintenant, il faut te prémunir pour éviter que cela n'arrive encore. Juste le détail de la restauration système à régler : Puisque ton pc ne présente aucun disfonctionnement, je te fais désactiver et réactiver ta restauration système de sorte d'effacer tous tes anciens points de restauration. Histoire de repartir sur des bases saines. Suis la manipulation indiquée :

 

Ne t'inquiète pas, en la réactivant, Windows recréera automatiquement un point de restauration qui sera, lui, propre. Procède comme ceci :

-clic droit sur Poste de travail / Propriétés / onglet Système de restauration

- coche la case "Désactiver le système de restauration..."

- clique sur "Appliquer" puis "oui"

- redémarre, reviens sur ce panneau

- décoche la case "Désactiver le système de restauration..." pour remettre les choses en place.

- clique sur "Appliquer" puis "Ok"

Pour une aide visuelle, tu peux consulter ce lien de Bruce lee.

 

Les outils installés.

• Tu as téléchargé et installé Atf-cleaner et AVG AS suite à ma demande. Je te suggère de les conserver ; le premier pour des opérations de nettoyage de temps en temps, et le deuxième très efficace en analyse en mode sans échec. Tu perdras la gratuité du résident (le "guard") au bout du trentième jour suite à son installation, mais tu pourras toujours le mettre à jour et l'utiliser en analyse ponctuelle. Sinon, il te suffit de supprimer le fichier Atf-cleaner.exe et de désinstaller AVG AS par le Panneau de configuration>Ajout/Suppression de programmes.
  

• Je te suggère de supprimer FlashDinsinfector, de srote que si tu en as besoin un jour, tu le retélécharges de sorte de toujours bénéficier d'une version à jour.
  

• Pas de soucis pour Antivir, je te conseille de le conserver.

Au fait je n'ai jamais fait d'analyse anti virus sur mes supports amovibles, car pour moi, a tord (et j'ai appris), une clef USB ou un disque externe ne se connecte pas a internet, donc, pas de virus.

Eh non. Tous les supports permettant la conservation de données peuvent être infectés. Même un lecteur mp3 quelconque. Tu peux désinstaller HijackThis, nous n'en avons plus besoin.

Malware Complaints.

• Je vais te demander un service à mon tour à présent, je te serais reconnaissant de rapporter ton infection sur Malware Complaints.

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :
- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5
- Après t'être enregistré à l'aide du bouton en haut register
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age
 
Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)
---> http://www.malwarecomplaints.info/viewforum.php?f=10
 
Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688
canned de Malekal_morte : http://www.malekal.com/

Dans ton cas, tu as été infecté par une infection de type Autorun, il te faudra donc, si tu le veux bien, poster dans la partie Autres infections.Je te remercie par avance.

Prévention.

• Maintenant, tu as pris connaissance des mécanismes de cette infection et de ses variantes, et de son mmode de propagation. Il est facile de s'en prémunir, suis les conseils du tuto que je t'ai indiqué à cet effet.
  

• Je t'invite à consulter ce sujet :

Utiliser un compte limité où y est condensé le meilleur moyen de se prévenir d'infections en utilisant de manière efficace les disponibilités offertes de restrictions par Xp et la gestion des droits

• Plus généralement, je t'invite à consulter cette

page où tu trouveras une concentration de divers liens d'articles de prévention, de téléchargements d'utilitaires et de tutoriels associés, ainsi que cet article abordant la sécurité sous un angle généraliste avec des liens permettant d'approfondir. Je te demande de prendre le temps, tranquillement, de parcourir ces liens. Ils se veulent démonstratifs et accessibles, tu n'en seras que plus tranquilisé et prôtégé après avoir pris conseil et appliqué les recommandations indiquées.

• Si tu n'as plus de questions, pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu".
  

A bientôt.