Pc Infecté ?

[Kyra]

Bonjour,

 

Depuis quelques jours, Windows Defender détecte ceci: Adware:Win32/Generic.A lors de l'analyse avec Spyware Terminator. Je le supprime a chaque fois mais il est toujours présent lors de l'analyse quotidienne.

 

Voici un rapport Antivir (j'avais Avast mais je l'ai remplacé par Antivir, suivant vos conseils) ainsi qu'un autre avec Hijackthis.

 

 

Antivir:

 

AntiVir PersonalEdition Classic

Report file date: vendredi 11 avril 2008 10:25

 

Scanning for 1193831 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows Vista

Windows version: (Service Pack 1) [6.0.6001]

Username: Chantal

Computer name: PC-DE-CHANTAL

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15

ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 08:16:02

ANTIVIR2.VDF : 7.0.3.127 649216 Bytes 07/04/2008 08:16:02

ANTIVIR3.VDF : 7.0.3.152 137216 Bytes 11/04/2008 08:16:02

AVEWIN32.DLL : 7.6.0.84 3461632 Bytes 11/04/2008 08:16:03

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 11/04/2008 08:16:03

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

 

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: C:\ProgramData\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: vendredi 11 avril 2008 10:25

 

Starting search for hidden objects.

The driver could not be initialized.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'HelpPane.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsm.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'wininit.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

18 processes with 18 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '8' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <ACER>

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Users\Chantal\AppData\Local\VirtualStore\Windows\DSC01497.zip

[0] Archive type: ZIP

--> img091307-www.photoshop.com

[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen

[iNFO] The file was moved to '48422419.qua'!

 

 

End of the scan: vendredi 11 avril 2008 10:55

Used time: 29:57 min

 

The scan has been done completely.

 

16998 Scanning directories

192224 Files were scanned

1 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

1 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

192223 Files not concerned

1760 Archives were scanned

1 Warnings

0 Notes

 

 

Hijackthis:

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:00:58, on 11/04/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Internet Explorer\ieuser.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Users\Chantal\Desktop\HiJackThis.exe

C:\Windows\system32\Macromed\Flash\FlashUtil9e.exe

 

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O13 - Gopher Prefix:

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/co...ex/qtplugin.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

 

--

End of file - 2963 bytes

 

 

Qu'en pensez-vous?

 

En espérant une réponse de votre, je vous remercie par avance .

Modifié le 12 avril 2008 par Kyra

[Kyra]

Up .

 

 

Quand kkun aura le temps, merci

[Kyra]

Personne?

[Kyra]

Quelqu'un peut m'aider, svp?

[Invité chance9]

bonsoir,

 

télécharge navilog http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe et installe le

 

* Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

 

* Au menu principal, choisis 2 et valide.

 

* Le fix va t'informer qu'il va alors redémarrer ton PC

 

* Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts

 

* Appuie sur une touche comme demandé. (si ton Pc ne redémarre pas automatiquement, fais le toi même)

 

* Au redémarrage de ton PC, choisis ta session habituelle.

 

* Patiente jusqu'au message : *** Nettoyage Termine le ..... ***

 

* Le Bloc-notes va s'ouvrir.

 

* Sauvegarde le rapport de manière à le retrouver.

 

* Referme le Bloc-Notes. Ton bureau va réapparaître.

 

* Note : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

 

* Rends-toi à l'onglet "Processus", clique en haut à gauche sur > Fichiers et choisis > Exécuter

 

* Tape explorer et valide. Celà te fera apparaître ton Bureau.

 

* Tu posteras le rapport de Navilog1

 

Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe et enregistrer sur le bureau

 

 

=Double-clic sur Combofix

= Presser 1 quand demandé

= Attendre la fermeture de l’outil ( 5 à 10 mn)

=Copier/coller le rapport dans la réponse

Un rapport dans C:\Combofix.txt à mettre dans la réponse

ComboFix-quarantined-files + Qoobox sont eux à supprimer

 

 

 

 

 

 

telecharger sdfix http://www.tayo.fr/download/sdfix

Double-cliquez sur l'icone SDFix

Une fenêtre s'ouvre, laissez les options telles quelles puis cliquez sur le bouton Install

SDFix est maintenant installé. Le nettoyage se fait en mode sans échec.

 

Pour redémarrer en mode sans échec :

 

Redémarrez l'ordinateur, avant le logo Windows et après le changement du premier écran

Tapotez sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Pour plus d'informations, voir la page comment redémarrer en mode sans échec

 

Une fois en mode sans échec, cliquez sur le menu Démarrer puis Exécuter et coller la commande suivant : C:\SDFix\RunThis.bat

Cliquez sur OK.

Une fenêtre noire s'ouvre vous donnant la version du Fix.

Appuyez sur la touche Y (pour yes) du clavier et appuyez sur Entrée

Le bureau (Menu Démarrer etc.) disparaît..

Le Fix commence son travail, il vous faut patienter, cela peut durer une trentaines de minutes

Une fois les opérations de nettoyage effectuées... SDFix vous signale que l'ordinateur doit être redémarré : The PC Will now restart

Appuyez sur une touche du clavier

L'ordinateur va redémarrer en mode normal.

Avant d'arriver sur el bureau, une nouvelle fenêtre de SDFix va s'ouvrir. Ceci peut prendre quelques une minutes

 

Le rapport SDFix s'ouvre alors :

Dans le cas où vous effectuez une désinfection via un forum, vous pouvez copier/coller ce rapport pour cela :

 

Cliquez sur le menu édition puis Sélectionner tout.

Cliquez à nouveau sur le menu édition puis coller.

Dans votre sujet sur le forum, créez un nouveau message puis clic droit / coller dans le message afin de coller le rapport

 

avec tous ça devrait régler ton problème a+ bon courage

colle un dernier rapport HiJackThis pour voir le resultat

[Lien Rag]

Bonsoir à vous 2

 

@chance9 : autant éviter de mitrailler des outils sans lecture du rapport Hijack avant.

De plus Kyra est sous Vista donc ton tuto pour navilog1 n'est pas adéquat.

Modifié le 13 avril 2008 par Lien Rag

[Kyra]

Bonjour,

 

Merci beaucoup pour vos réponses.

Je fais quoi étant donné que navilog1 n'est pas configuré pour Vista?

 

 

En attendant, je voici un nouveau rapport Hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:56:18, on 14/04/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Internet Explorer\ieuser.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Windows\system32\Macromed\Flash\FlashUtil9e.exe

C:\Hijackthis\HiJackThis.exe

 

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/co...ex/qtplugin.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

 

--

End of file - 2614 bytes

[Invité chance9]

bonjour kyra

j'avais pas fait attention que tu etais sur vista pack 1 desolé

 

coche ces lignes avec hijackthis

 

C:\Windows\system32\SearchFilterHost.exe

O1 - Hosts: ::1 localhost

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll

 

et clique sur fixed

 

Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe et enregistrer sur le bureau

 

 

=clic droit sur Combofix executer en tant que administrateur

= Presser 1 quand demandé

= Attendre la fermeture de l’outil ( 5 à 10 mn)

=Copier/coller le rapport dans la réponse

Un rapport dans C:\Combofix.txt à mettre dans la réponse

ComboFix-quarantined-files + Qoobox sont eux à supprimer

 

bon courage a+ tard

[Lien Rag]

@Chance9

 

Peux tu nous dire ce qui dans le rapport Hijack t'indique qu'il faut utiliser ComboFix stp

 

@Kyria

 

peux tu m'indiquer le chemin d'accés complet du fichier nefaste stp

[Falkra]

Bonjour, ce sujet sera bientôt fermé pour doublon.

 

Chance9, ce site que tu conseilles n'est pas un des sites officiels de SDFix : http://www.tayo.fr/download/sdfix

Est-ce le tien ? (ce n'est pas un reproche, mais lis ce qui suit).

 

 

Il ne faut télécharger les outils spéciaux que depuis les sites officiels qui sont les suivants pour SDFix :

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

http://download.bleepingcomputer.com/andymanchesta/SDFix.exe

 

Pourquoi ?

 

Parce qu'ils sont toujours à jour et ont la dernière version, certains outils peuvent avoir plusieurs mises à jour le même jour et en cas de problème sur une version cela permet de la corriger immédiatement sans propager une erreur problématique.

Ensuite, les développeurs n'ont pas autorisé l'hébergement de leurs programmes sur des sites de ce type, pour ces mêmes raisons techniques parmi d'autres et des questions de droits.

 

Pour le reste, je n'ajoute rien à ce qu'a posté Lien Rag, j'y souscris.

Si tu veux en savoir plus, tu trouveras des explications ici (et post suivants) :

http://forum.zebulon.fr/index.php?s=&s...t&p=1193296

Nous y expliquons pourquoi notamment il ne faut pas enchaîner les outils +/- au petit bonheur la chance, pas pour faire la police ou restreindre la bonne volonté, mais pour des raisons techniques. Elles y sont exposées.

 

Attention au copier coller de procédures...