Infection virus-rapport Hijackthis à analyser

[machaaa]

cooooOOOOoool!!!!

voici le dernier rapport ComboFix:

 

ps: j'ai un fichier texte catchme.log qui s'est crée sur le bureau. de quoi s'agit-il? dois-je le garder?

 

ComboFix 08-02-21 - MD 2008-02-28 16:38:54.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1590 [GMT 1:00]

Endroit: C:\Documents and Settings\MD\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-01-28 to 2008-02-28 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-26 22:26 . 2008-02-26 22:26 <REP> d-------- C:\WINDOWS\ERUNT

2008-02-26 22:12 . 2008-02-26 22:36 <REP> d-------- C:\SDFix

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-28 09:27 --------- d-----w C:\Documents and Settings\MD\Application Data\OpenOffice.org2

2008-02-19 07:52 --------- d-----w C:\Documents and Settings\MD\Application Data\AdobeUM

2008-02-11 12:56 --------- d-----w C:\Program Files\Free Easy Burner

2008-01-27 22:29 --------- d-----w C:\Program Files\Avira

2008-01-27 22:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira

2008-01-27 21:33 --------- d-----w C:\Program Files\Trend Micro

2008-01-26 13:28 --------- d-----w C:\Documents and Settings\MD\Application Data\DivX

2008-01-23 22:31 --------- d-----w C:\Program Files\DivX

2008-01-11 18:30 --------- d-----w C:\Program Files\Last.fm

2008-01-09 22:09 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP

2008-01-06 18:34 --------- d-----w C:\Program Files\iTunes

2008-01-06 18:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Last.fm

2008-01-04 21:59 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe

2008-01-04 21:58 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys

2008-01-04 21:58 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys

2008-01-04 21:58 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys

2008-01-04 21:58 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll

2008-01-04 21:58 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll

2008-01-04 21:58 129,784 ------w C:\WINDOWS\system32\pxafs.dll

2008-01-04 21:58 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe

2008-01-04 21:58 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe

2008-01-04 21:58 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll

2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll

2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll

2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll

2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll

2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll

2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll

2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll

2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll

2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll

2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll

2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll

2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll

2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe

2008-01-04 21:56 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll

2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys

2007-12-07 14:37 3,080,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll

2007-12-06 13:07 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe

2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll

2007-12-04 18:41 550,912 ------w C:\WINDOWS\system32\dllcache\oleaut32.dll

2007-02-03 13:10 1,931 ----a-w C:\Program Files\README_WINPCAP.txt

2007-02-01 14:12 7,975,963 ----a-w C:\Program Files\packetgarden_1.0_setup.exe

2006-09-25 12:24 467,181 ----a-w C:\Program Files\winpcap_3.1.exe

2006-02-24 16:39 52,855,506 ----a-w C:\Program Files\openofficeorg3.cab

2006-02-24 16:39 2,352,893 ----a-w C:\Program Files\openofficeorg4.cab

2006-02-24 16:34 14,868,750 ----a-w C:\Program Files\openofficeorg2.cab

2006-02-24 16:33 18,306,767 ----a-w C:\Program Files\openofficeorg1.cab

2006-02-24 16:32 5,223,424 ----a-w C:\Program Files\openofficeorg20.msi

2006-02-24 16:32 217 ----a-w C:\Program Files\setup.ini

2002-03-11 09:06 1,822,520 ----a-w C:\Program Files\instmsiw.exe

2002-03-11 08:45 1,708,856 ----a-w C:\Program Files\instmsia.exe

2001-03-28 10:02 122,880 ----a-w C:\WINDOWS\inf\Agfa\message.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

"DMX"="C:\Program Files\Dell\Media Experience\DMX.exe" [ ]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [ ]

"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-08-21 16:37 20053032]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 17:48 32881]

"SigmatelSysTrayApp"="stsystra.exe" [2005-03-23 00:20 339968 C:\WINDOWS\stsystra.exe]

"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 21:05 344064]

"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [ ]

"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50 81920]

"AME_CSA"="csa.cpl" [2003-06-12 11:42 757760 C:\WINDOWS\system32\CSA.cpl]

"AdobeVersionCue"="C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe" [2003-10-22 16:33 1732608]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-11-05 20:07 180269]

"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-29 20:50 196608]

"SetIcon"="C:\Program Files\Icons\SetIcon.exe" [2002-12-16 10:02 39936]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 05:24 286720]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-07-10 08:18 270648]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-27 23:31 249896]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]

 

C:\Documents and Settings\MD\Menu D‚marrer\Programmes\D‚marrage\

Last.fm Helper.lnk - C:\Program Files\Last.fm\LastFMHelper.exe [2008-01-06 19:33:46 106496]

OpenOffice.org 2.0.lnk - C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 17:42:22 61440]

 

S3 AmeAtmPc;AmeAtmPc;C:\WINDOWS\system32\DRIVERS\AmeAtmPc.sys [2003-04-04 18:13]

S3 AtmElan;Réseau émulant ATM;C:\WINDOWS\system32\DRIVERS\atmlane.sys [2004-08-05 12:00]

S3 AtmLane;Émulation réseau ATM;C:\WINDOWS\system32\DRIVERS\atmlane.sys [2004-08-05 12:00]

S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 22:10]

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-01-12 13:59:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-28 16:40:58

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-02-28 16:41:23

ComboFix-quarantined-files.txt 2008-02-28 15:41:21

ComboFix2.txt 2008-02-26 21:22:13

ComboFix3.txt 2008-02-21 10:47:21

.

2008-02-26 22:45:34 --- E O F ---

[machaaa]

Hello!

Je n'ai plus de nouvelles, est-ce que tout est rentré dans l'ordre?

 

Merci!!!

 

macha

[oGu]

Salut Macha!

 

Désolé mais j'étais en vacances dans ma belle province natale!!

 

Le log ComboFix est sain, tout comme le log HijackThis !

 

Quant au rapport CatchMe sur ton bureau, il correspond à la recherche antirootkit de ComboFix; tu peux maintenant le supprimer.

 

On va terminer la désinfection avec quelques précautions supplémentaires:

 

1- Supprimer ComboFix

 

Clique sur Démarrer, puis sur Exécuter

• Tape combofix /u et appuie sur Entrée <-- Attention, l'espace entre le "x" et le "/" est important
  
  

2- Scan Antispyware

Télécharge ewido anti-spyware micro scanner sur ton bureau.

• Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  
• Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  
• Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  
• Clique sur Start Scan et laisse l'outil travailler.
  
• Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau.
  
• Poste le dans ta prochaine réponse.
  

• Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport.
  

 

3- Rapport Antivirus

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  
• Puis lance un scan Antivir et supprime tout ce qu'il te trouve.
  
• Poste le rapport qu'Antivir va générer
  

Normalement, à la suite de ces scans, ton PC devrait être propre et opérationnel; constates-tu déjà des améliorations??

 

Si tu le souhaites, on pourra terminer par des conseils et des procédures basiques de sécurisation de ton PC.

 

A+ !

Modifié le 4 mars 2008 par oGu

[machaaa]

Salut Ogu!

 

Aaah, c'était donc ça! J'espère que tu as passé de bonnes vancances!

 

Contente que les deux derniers rapports soient sains! Je remarque surtout qu'Antivir ne s'alerte plus pour des Vundos!

 

Avant de poster les deux derniers rapports demandés, j'ai qq petites questions:

1) Dois-je garder VundoFix, et autres soft que j'ai downloadé pour nettoyer mon ordi? (ATF Cleaner, Ewido,..)

2) Antivir a détecté A0000010.exe, je l'ai mis en quarantaine, de quoi s'agit-il?

3) J'ai voulu downloader un soft avec lequel je travaille sur mon portable (VVVV) et directx, mais quand je veux les lancer, une fenêtre me dit que ce n'est pas une application Win32 valide... n'aurais-je pas supprimer un fichier nécessaire dans le Win32 qui permet de lancer de nouvelles application? pour VVVV, il me dit qu'il ne peut pas démarrer car d3dx9_30.dll est introuvable... Je vais encore essayer de le réinstaller, on verra bien, mais cela a-t-il un lien?

 

Sinon voici les deux derniers rapports demandés:

 

Ewido:

 

TrackingCookie.Doubleclick

Path: :mozilla.65:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Statcounter

Path: :mozilla.93:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Onestat

Path: :mozilla.109:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Onestat

Path: :mozilla.112:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.2o7

Path: :mozilla.126:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Tribalfusion

Path: :mozilla.127:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Webtrendslive

Path: :mozilla.138:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Pointroll

Path: :mozilla.152:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Pointroll

Path: :mozilla.153:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Pointroll

Path: :mozilla.154:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Pointroll

Path: :mozilla.155:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Pointroll

Path: :mozilla.156:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Pointroll

Path: :mozilla.157:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Pointroll

Path: :mozilla.158:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Pointroll

Path: :mozilla.159:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Atdmt

Path: :mozilla.163:C:\Documents and Settings\MD\Application Data\Mozilla\Firefox\Profiles\8ws11duk.default\cookies.txt

Risk: Medium

 

Name: Adware.Minibug

Path: C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll

Risk: Medium

Antivir:

 

 

 

AntiVir PersonalEdition Classic

Report file date: jeudi 6 mars 2008 08:39

 

Scanning for 1132684 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: SYSTEM

Computer name: MD

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 22:31:12

ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 24/02/2008 20:11:50

ANTIVIR3.VDF : 7.0.2.231 167424 Bytes 04/03/2008 21:11:37

AVEWIN32.DLL : 7.6.0.73 3334656 Bytes 02/03/2008 16:39:33

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 27/01/2008 22:31:13

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: D:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: high

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: jeudi 6 mars 2008 08:39

 

Starting search for hidden objects.

'35474' objects were checked, '0' hidden objects were found.

 

The scan of running processes will be started

Scan process 'avnotify.exe' - '1' Module(s) have been scanned

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'wuauclt.exe' - '1' Module(s) have been scanned

Scan process 'firefox.exe' - '1' Module(s) have been scanned

Scan process 'wuauclt.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'iPodService.exe' - '1' Module(s) have been scanned

Scan process 'soffice.bin' - '1' Module(s) have been scanned

Scan process 'soffice.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'CDAC11BA.EXE' - '1' Module(s) have been scanned

Scan process 'LastFMHelper.exe' - '1' Module(s) have been scanned

Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned

Scan process 'acrotray.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'Skype.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned

Scan process 'NotifyPhoneBook.exe' - '1' Module(s) have been scanned

Scan process 'SetIcon.exe' - '1' Module(s) have been scanned

Scan process 'hpztsb04.exe' - '1' Module(s) have been scanned

Scan process 'realsched.exe' - '1' Module(s) have been scanned

Scan process 'VersionCueTray.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'issch.exe' - '1' Module(s) have been scanned

Scan process 'stsystra.exe' - '1' Module(s) have been scanned

Scan process 'jusched.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

42 processes with 42 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[NOTE] No virus was found!

Master boot sector HD1

[NOTE] No virus was found!

Master boot sector HD2

[NOTE] No virus was found!

[WARNING] The boot sector file could not be read!

[WARNING] Error code: 0x0015

Master boot sector HD3

[NOTE] No virus was found!

[WARNING] The boot sector file could not be read!

[WARNING] Error code: 0x0015

Master boot sector HD4

[NOTE] No virus was found!

[WARNING] The boot sector file could not be read!

[WARNING] Error code: 0x0015

Master boot sector HD5

[NOTE] No virus was found!

[WARNING] The boot sector file could not be read!

[WARNING] Error code: 0x0015

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '34' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\MD\Bureau\VirtumundoBeGone.exe

[DETECTION] Contains detection pattern of the application APPL/Processor

[iNFO] The file was moved to '4841a17b.qua'!

C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP1\A0000010.exe

[DETECTION] Contains detection pattern of the application APPL/Processor

[iNFO] The file was moved to '47ffb01c.qua'!

Begin scan in 'D:\'

 

 

End of the scan: jeudi 6 mars 2008 09:57

Used time: 1:17:29 min

 

The scan has been done completely.

 

7270 Scanning directories

352787 Files were scanned

2 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

2 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

352785 Files not concerned

9128 Archives were scanned

2 Warnings

0 Notes

35474 Objects were scanned with rootkit scan

0 Hidden objects were found

 

 

MERCIIII et à+,

 

macha

[oGu]

Salut Ogu!

 

Aaah, c'était donc ça! J'espère que tu as passé de bonnes vancances!

 

Ouais, ça fait du bien au moral !

 

 

 

1) Dois-je garder VundoFix, et autres soft que j'ai downloadé pour nettoyer mon ordi? (ATF Cleaner, Ewido,..)

 

 

Tu peux garder Ewido (et faire un scan à l'occasion) et ATF (à passer après une longue session de surf par exemple, pour supprimer les fichiers temporaires inutiles). Par contre supprime VirtuMondeBeGone, SDFix et VundoFix, qui sont maintenant inutiles: ces logiciels ne servent que pour les désinfections (et comme tu vas suivre nos bons conseils, tu ne seras plus infectée ! )

 

2) Antivir a détecté A0000010.exe, je l'ai mis en quarantaine, de quoi s'agit-il?

 

C'est un fichier malsain, mais il est contenu dans la restauration système: il est donc sans danger (on va y revenir en fin de post); sans doute une scorie de tes infectioons passées qui a été sauvegardée automatiquement par ton système.

 

 

3) J'ai voulu downloader un soft avec lequel je travaille sur mon portable (VVVV) et directx, mais quand je veux les lancer, une fenêtre me dit que ce n'est pas une application Win32 valide... n'aurais-je pas supprimer un fichier nécessaire dans le Win32 qui permet de lancer de nouvelles application? pour VVVV, il me dit qu'il ne peut pas démarrer car d3dx9_30.dll est introuvable... Je vais encore essayer de le réinstaller, on verra bien, mais cela a-t-il un lien?

 

Je ne connais pas ce logiciel. A priori on n'a rien shooté de vital, mais les virus font parfois des dégâts, même une fois éradiqués...A priori je ne pense pas que nos manip' soient responsables.

 

On va résoudre le problème comme suit:

• Rend-toi sur cette page:
   
  http://www.fichier-dll.fr/d3dx9-30.dll,617
  

• et télécharge la dll qui te manque en bas de la page (bouton "téléchargement")
  
• Copie cette dll dans:
   
  C:\Windows\system32
  

• Redémarre et tente à nouveau d'installer ton logiciel
  

 

Sinon voici les deux derniers rapports demandés:

 

Ewido:

 

 

 

 

Name: Adware.Minibug

Path: C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll

Risk: Medium

 

Ewido a repéré un fichier de ton logiciel de météo (WeatherBug) comme étant un vecteur de publicité, et a mis à jour des cookies traceurs (c'est sans danger):

• Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  
• Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  
• Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  
• Clique sur Start Scan et laisse l'outil travailler.
  
• Quand l'outil à fini, clique sur Remove infections
  

 

 

 

Antivir:

 

 

[WARNING] The file could not be opened!

C:\Documents and Settings\MD\Bureau\VirtumundoBeGone.exe

[DETECTION] Contains detection pattern of the application APPL/Processor

[iNFO] The file was moved to '4841a17b.qua'!

 

C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP1\A0000010.exe

[DETECTION] Contains detection pattern of the application APPL/Processor

[iNFO] The file was moved to '47ffb01c.qua'!

Begin scan in 'D:\'

 

Antivir n'indique plus rien de méchant: il a repéré VirtuMondeBegone comme étant un virus (mais il se trompe, c'est un faux-positif!!) + une trace d'infection dans la restauration système. Pour s'en débarrasser:

• Aller dans le menu "Démarrer"
  
• Cliquer droit sur l'icone "Poste de travail"
  
• Dans l'onglet "Restauration du système", sélectionner "Désactiver la Restauration du système sur tous les lecteurs".
  
• Cliquer sur "Appliquer."
  
• Lorsque le message de confirmation apparaît, cliquer sur "Oui"
  
  
• Cliquer enfin sur "OK".
  
• Redémarrer
  
• Puis:
  
• Aller dans le menu "Démarrer"
  
• Cliquer droit sur l'icone "Poste de travail"
  
• Dans l'onglet "Restauration du système", décocher la case "Désactiver la Restauration du système sur tous les lecteurs".
  
• Cliquez sur "Appliquer."
  
• Lorsque le message de confirmation apparaît, cliquer sur "Oui"
  
  
• Cliquer enfin sur "OK".
  

 

--------------> Une fois ces ultimes réglages fait, reviens sur le topic et je te donnerai des conseils basiques pour sécuriser ta machine (si tu le souhaites bien entendu!!)

 

Tu as bien bossé en tout cas! A+!

Modifié le 6 mars 2008 par oGu

[machaaa]

Hello Ogu!

 

merci à toi, c'est toi qui a fais du bon travail!

 

je suis trop contente, j'ai un moment cru que j'allais de voir réinstaller tout le système pour que ma machine soit propre.

 

bien sûr, je suis ouverte à tes conseils, j'écoute!

je constate que je surfe déjà vachement plus vite qu'avant, pourvu que ça dure!

 

bon et puis après cet ordi, je vais m'attaquer à mon laptop.... donc je reviendrais très prochainement sur le forum

 

Bon, j'attend tes conseils et encore une énoooooorme MERCIIIII

 

macha

[oGu]

Re!

 

Comme convenu en mp:

 

Quelques règles de base à respecter en sécurité:

• j'abandonne le peer-to-peer, qui draîne fakes, infections et virus déguisés en cracks.
  
• ne jamais télécharger n'importe quoi sans se renseigner
  
• ne jamais installer n'importe quoi sans se renseigner:: attention aux faux logiciels !
  
• j'ai un doute sur un fichier, un programme, un exécutable? Je le scanne avec VirusTotal:
  www.virustotal.com/fr
  
• je me méfie des sites X (et des sites de cracks et warez), très souvent piégés.
  
• je me méfie des sites de jeux en lignes (surtout de type Casino et Poker), très souvent piégés.
  
• ne pas faire une confiance aveugle aux logiciels de protection: ils sont tous faillibles.
  
• je me méfie des mails que je reçois
  
• je en connecte pas mes clés USB n'importe où
  
• je me méfie de MSN, Windows live Messenger etc..., cibles d'infections quotidiennes
  
• la première cause d'infection est le manque de prudence et de discernement de l'internaute
  
• je ne clique pas sur n'importe quoi et je me méfie du Net, qui est autant un espace de loisir qu'un espace de profits, où certains sont sans foi ni loi.
  

 

 

1===/// CREER UN COMPTE LIMITE ///===

 

Pour sécuriser ta machine lors de tes surfs, la première chose ) faire est de créer un COMPTE LIMITE sur ta machine: dorénavant, tu te connecteras sur ce compte pour surfer ou chatter, et ainsi aucun ver,virus, codec porno infectieux, trojan (la liste est longue!) etc... ne pourra s'installer ou s'éxecuter, car les comptes limités INTERDISENT ces actions sur ton PC. C'est la plus simple et la plus efficace des protections.

 

Ton compte actuel, qui est ADMINISTRATEUR, pourra être utilisé pour de la maintenance, des installations de logiciels etc...

 

 

 

A partir de ton compte administrateur, va dans le "Panneau de configuration", et dans l'onglet "Compte utilisateur",crée un nouveau compte :

 

 

Règle-le sur "Compte limité" :

 

 

 

 

 

 

 

 

2===/// INSTALLER UN HOSTS ///===

 

 

Un hosts est un simple fichier texte recensant les sites à risque et empêchant ta machine de s'y connecter:

 

 

POUR INSTALLER UN HOSTS AVEC hpHosts:

 

 

• Télécharger le logiciel hpHosts
  
  

• Installer-le en cliquant successivement sur "next" puis "install"
  
• Avant la fin de l'installation une fenêtre apparaît: cocher "Disable Windows DNS Client (recommended)"
   
  
  

• Redémarre
  

Quand tu auras terminé ces deux étapes, on pourra poursuivre si tu le souhaites

 

 

 

3===/// FERMER LES PORTS ///===

• 
  
• Je te conseille de fermer les ports dangereux de ta machine avec ZebProtect, créé par des membres de Zebulon
  
  
  

 

 

4===/// RENFORCER LE REGISTRE ///===

 

Je te conseille de faire un peu de "hardening", c'est à dire des petits changements, souvent dans la base de registre, qui renforcent la sécurité de XP.

• Il existe un logiciel qui automatise ces manipulations: ZigStack
  
• Décompresse l'archive sur ton bureau et ouvre le dossier "bin".
  
• Clique sur l'executable Zigstack.
  
• Clique en bas sur "select all" puis sur " set hardening".
  
• Redémarre.
   
  Pour voir si cela a fonctionné ouvre à nouveau Zigstack et assure-toi que chaque élément soit "enabled" (colonne à droite).
   
  Si oui tu peux supprimer Zigstack de ton PC.
  

 

5===/// SECURISER TA BOX ///===

• je te conseille de sécuriser ta Box en jetant un oeil sur ce tuto (en espérant que ta Box y soit détaillée):
   
  
  
  

6===/// RESTREINDRE LES DROITS DE FIREFOX et de ta MESSAGERIE/TCHAT ///===

• Je te conseille de restreindre les droits de ton navigateur (SAUF INTERNET EXPLORER) et de ta messagerie en suivant mon petit tuto sur StripMyRights
   
  
  
  

7===/// UTILISER ET SECURISER FIREFOX ///===

• Enfin si ce n'est déjà fait, utilise exclusivement FIREFOX et sécurise-le avec les extensions suivantes:
   
  - extension AdBlock
   
  - avec AdBlock, installe les filtres Liste FR + EasyList en abonnement
   
  - extension Customize Google (disparation des pubs et anonymisation des cookies Google)
  

A bientôt !

Modifié le 16 mars 2008 par oGu