Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection, urgent!!

Kyra

Par Kyra
dans Analyses et éradication malwares

 Partager

Messages recommandés

Invité chance9

Invité chance9

Posté(e)
Posté(e)

si ton problème n'est pas régler tu téléchargeras ceci sur ton bureau

 

c'est un scanneur de rootkit de trenmicro trés éfficace

 

 

http://www.trendmicro.com/ftp/products/roo...ter2.2.1014.zip

 

tu le dezippe sur ton bureau

 

ensuite clique droit sur l'icône rootkitbuster executer en tant qu'administrateur une fenetre s'ouvre tu cliques sur autoriser une fenetre apparait tu clique

sur scan

 

si il trouve des fichiers tu les coches tous et tu cliques sur delete seleted item

 

si il te demande de redemarrer le pc alors redemarre le

Kyra Junior Member

Kyra

Posté(e)
  • Auteur
Posté(e)

Regarde, un scan avec mon antivirus, tu en penses quoi?

Apparement c'est bon, non?

 

 

 

AntiVir PersonalEdition Classic

Report file date: lundi 14 avril 2008 22:17

 

Scanning for 1199805 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows Vista

Windows version: (Service Pack 1) [6.0.6001]

Username: Chantal

Computer name: PC-DE-CHANTAL

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15

ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 08:16:02

ANTIVIR2.VDF : 7.0.3.156 795136 Bytes 11/04/2008 08:17:59

ANTIVIR3.VDF : 7.0.3.160 75776 Bytes 14/04/2008 08:34:12

AVEWIN32.DLL : 7.6.0.85 3461632 Bytes 12/04/2008 08:17:59

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 11/04/2008 08:16:03

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

 

Configuration settings for the scan:

Jobname..........................: Rootkit search

Configuration file...............: C:\ProgramData\Avira\AntiVir PersonalEdition Classic\PROFILES\rootkit.avp

Logging..........................: high

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Scan memory......................: off

Process scan.....................: off

Scan registry....................: off

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: high

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Expanded search settings.........: 0x00300922

 

Start of the scan: lundi 14 avril 2008 22:17

 

Starting search for hidden objects.

HKEY_USERS\S-1-5-21-2142300943-1678600101-2100165802-1000\Software\Matt Holwood\MessengerDiscovery Live\lm5

[NOTE] The registry entry is invisible.

HKEY_USERS\S-1-5-21-2142300943-1678600101-2100165802-1000\Software\Matt Holwood\MessengerDiscovery Live\lm4

[NOTE] The registry entry is invisible.

HKEY_USERS\S-1-5-21-2142300943-1678600101-2100165802-1000\Software\Matt Holwood\MessengerDiscovery Live\lm3

[NOTE] The registry entry is invisible.

HKEY_USERS\S-1-5-21-2142300943-1678600101-2100165802-1000\Software\Matt Holwood\MessengerDiscovery Live\lm2

[NOTE] The registry entry is invisible.

HKEY_USERS\S-1-5-21-2142300943-1678600101-2100165802-1000\Software\Matt Holwood\MessengerDiscovery Live\lm1

[NOTE] The registry entry is invisible.

'477189' objects were checked, '5' hidden objects were found.

 

 

End of the scan: lundi 14 avril 2008 22:22

Used time: 05:23 min

 

The scan has been done completely.

 

0 Scanning directories

0 Files were scanned

0 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

0 Files cannot be scanned

0 Files not concerned

0 Archives were scanned

0 Warnings

0 Notes

477189 Objects were scanned with rootkit scan

5 Hidden objects were found

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bonsoir, attention avec les antirootkit, certains fichiers détectés peuvent être légitimes, tout n'est pas nécessairement infectieux.

 

Cette ligne du rapport mérite peut-être qu'on s'y arrête :

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
Ce fichier peut faire partie de la suite eData de Acer (et être listé chez HiTrust) ou bien être un malware.

 

Deux options, un scan via virustotal ou une petite vérif de plus.

 

N'hésitez pas, si vous avez des questions, je ne viens pas faire du "flicage".

Kyra Junior Member

Kyra

Posté(e)
  • Auteur
Posté(e)
Bonsoir, attention avec les antirootkit, certains fichiers détectés peuvent être légitimes, tout n'est pas nécessairement infectieux.

 

Cette ligne du rapport mérite peut-être qu'on s'y arrête :

Ce fichier peut faire partie de la suite eData de Acer (et être listé chez HiTrust) ou bien être un malware.

 

Deux options, un scan via virustotal ou une petite vérif de plus.

 

N'hésitez pas, si vous avez des questions, je ne viens pas faire du "flicage".

 

 

 

Bonsoir,

 

 

Merci pour ton intervention.

 

Quelle est la démarche a suivre pour supprimer cette ligne?

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bonsoir, le plus simple est de vérifier la légitimité du fichier ou non : avec ce même nom et ce même identificateur il peut être bon ou mauvais, on peut vérifier, voici comment faire (avant de supprimer ou non) : virustotal scannera le fichier avec 25 antivirus à jour et on pourra voir aussi la taille du fichier et déterminer ainsi si c'est le bon ou le mauvais.

 

Rends toi sur ce lien : Virus Total

  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :

  • C:\Windows\system32\ActiveToolBand.dll

  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : txtvt.jpg
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

S'il est utilisé comme résident (qui tourne à l'arrière plan) en même temps que windows defender, spyware terminator entre en conflit avec, cela fait un résident de trop sur le même créneau et le même type de tâches.

Invité chance9

Invité chance9

Posté(e)
Posté(e)

c'est un conflit qu'il y a entre windows defender et spyware terminator desinstalle le

 

et ton probléme sera resolu

Kyra Junior Member

Kyra

Posté(e)
  • Auteur
Posté(e) (modifié)

Voici:

 

 

 

Fichier ActiveToolBand.dll reçu le 2008.04.14 22:47:18 (CET)Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.4.15.0 2008.04.14 -

AntiVir 7.6.0.85 2008.04.14 -

Authentium 4.93.8 2008.04.13 -

Avast 4.8.1169.0 2008.04.14 -

AVG 7.5.0.516 2008.04.14 -

BitDefender 7.2 2008.04.14 -

CAT-QuickHeal 9.50 2008.04.14 -

ClamAV 0.92.1 2008.04.14 -

DrWeb 4.44.0.09170 2008.04.14 -

eSafe 7.0.15.0 2008.04.09 -

eTrust-Vet 31.3.5697 2008.04.14 -

Ewido 4.0 2008.04.14 -

F-Prot 4.4.2.54 2008.04.14 -

F-Secure 6.70.13260.0 2008.04.14 -

FileAdvisor 1 2008.04.14 -

Fortinet 3.14.0.0 2008.04.14 -

Ikarus T3.1.1.26 2008.04.14 -

Kaspersky 7.0.0.125 2008.04.14 -

McAfee 5273 2008.04.14 -

Microsoft 1.3408 2008.04.14 -

NOD32v2 3026 2008.04.14 -

Norman 5.80.02 2008.04.14 -

Panda 9.0.0.4 2008.04.14 -

Prevx1 V2 2008.04.14 -

Rising 20.40.02.00 2008.04.14 -

Sophos 4.28.0 2008.04.14 -

Sunbelt 3.0.1041.0 2008.04.12 -

Symantec 10 2008.04.14 -

TheHacker 6.2.92.277 2008.04.14 -

VBA32 3.12.6.4 2008.04.14 -

VirusBuster 4.3.26:9 2008.04.14 -

Webwasher-Gateway 6.6.2 2008.04.14 -

 

Information additionnelle

File size: 299008 bytes

MD5...: a356c37d72ac22bdfbe421e7a96b51d6

SHA1..: 4fcc0f116b84164091c8ca12e061217bae67c8dc

SHA256: 5f8d51103651c033fa9f828ef5d19a37275522a8bd1fc6ea041f29d9ae4e1fd9

SHA512: 228f4974ad31c5e04835a983c8a4440eea300c4148db99795d5ceea865fbf811<BR>d7f3a1c5bdd5e7b881d240f0fb5d0767d422e7c4732242ce9936bee1dd32d60d

PEiD..: -

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x100183e0<BR>timedatestamp.....: 0x462f1251 (Wed Apr 25 08:33:21 2007)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 5 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x2fb8f 0x30000 6.22 1b4a2986a64eaabd9dda8b53f69de9fe<BR>.rdata 0x31000 0xf72b 0x10000 4.36 f3a2bad86fed845257256216a11cfe89<BR>.data 0x41000 0x3470 0x2000 2.67 38ac50dcd3315d0084f128227cd85e43<BR>.rsrc 0x45000 0xe2c 0x1000 4.68 8012f9f83490ec47e3f174342432c1a0<BR>.reloc 0x46000 0x4488 0x5000 4.24 971fb398d2830ee293107b847f2e865f<BR><BR>( 5 imports ) <BR>> KERNEL32.dll: FindResourceW, LoadLibraryExW, lstrcmpiW, LoadResource, RaiseException, LeaveCriticalSection, EnterCriticalSection, SizeofResource, MultiByteToWideChar, FreeLibrary, GetLastError, lstrlenW, GetModuleFileNameW, GetModuleHandleW, InterlockedDecrement, InterlockedIncrement, InitializeCriticalSection, DeleteCriticalSection, DisableThreadLibraryCalls, FlushFileBuffers, CreateFileA, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetCurrentProcessId, CloseHandle, SetEvent, OpenEventA, OutputDebugStringA, OutputDebugStringW, lstrlenA, WaitForSingleObject, GetCurrentThreadId, VirtualAlloc, UnmapViewOfFile, GetSystemInfo, MapViewOfFile, CreateFileMappingA, GetCurrentThread, GetVersion, OpenFileMappingA, GetModuleFileNameA, RtlUnwind, HeapValidate, IsBadReadPtr, GetCommandLineA, HeapFree, HeapAlloc, GetProcessHeap, FatalAppExitA, DebugBreak, WideCharToMultiByte, IsDebuggerPresent, GetProcAddress, LoadLibraryA, GetStdHandle, WriteFile, WriteConsoleW, GetFileType, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, ExitProcess, LoadLibraryW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapReAlloc, HeapDestroy, HeapCreate, VirtualFree, GetOEMCP, GetCPInfo, SetHandleCount, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, VirtualQuery, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW<BR>> USER32.dll: CharNextW, UnregisterClassW, MsgWaitForMultipleObjects, PeekMessageA, IsWindowUnicode, DispatchMessageA, DispatchMessageW, TranslateMessage, GetMessageA, GetMessageW<BR>> ADVAPI32.dll: RegSetValueExW, RegEnumKeyExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, SetThreadToken, RevertToSelf, OpenThreadToken, RegQueryInfoKeyW<BR>> ole32.dll: CoTaskMemFree, CoTaskMemAlloc, CoTaskMemRealloc, StringFromGUID2, CoCreateInstance, CoReleaseMarshalData, CoMarshalInterface, CreateStreamOnHGlobal, CoUnmarshalInterface, CoRevokeClassObject, CoRegisterClassObject<BR>> OLEAUT32.dll: -, -, -, -, -, -, -, -<BR><BR>( 4 exports ) <BR>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<BR>

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.4.15.0 2008.04.14 -

AntiVir 7.6.0.85 2008.04.14 -

Authentium 4.93.8 2008.04.13 -

Avast 4.8.1169.0 2008.04.14 -

AVG 7.5.0.516 2008.04.14 -

BitDefender 7.2 2008.04.14 -

CAT-QuickHeal 9.50 2008.04.14 -

ClamAV 0.92.1 2008.04.14 -

DrWeb 4.44.0.09170 2008.04.14 -

eSafe 7.0.15.0 2008.04.09 -

eTrust-Vet 31.3.5697 2008.04.14 -

Ewido 4.0 2008.04.14 -

F-Prot 4.4.2.54 2008.04.14 -

F-Secure 6.70.13260.0 2008.04.14 -

FileAdvisor 1 2008.04.14 -

Fortinet 3.14.0.0 2008.04.14 -

Ikarus T3.1.1.26 2008.04.14 -

Kaspersky 7.0.0.125 2008.04.14 -

McAfee 5273 2008.04.14 -

Microsoft 1.3408 2008.04.14 -

NOD32v2 3026 2008.04.14 -

Norman 5.80.02 2008.04.14 -

Panda 9.0.0.4 2008.04.14 -

Prevx1 V2 2008.04.14 -

Rising 20.40.02.00 2008.04.14 -

Sophos 4.28.0 2008.04.14 -

Sunbelt 3.0.1041.0 2008.04.12 -

Symantec 10 2008.04.14 -

TheHacker 6.2.92.277 2008.04.14 -

VBA32 3.12.6.4 2008.04.14 -

VirusBuster 4.3.26:9 2008.04.14 -

Webwasher-Gateway 6.6.2 2008.04.14 -

 

Information additionnelle

File size: 299008 bytes

MD5...: a356c37d72ac22bdfbe421e7a96b51d6

SHA1..: 4fcc0f116b84164091c8ca12e061217bae67c8dc

SHA256: 5f8d51103651c033fa9f828ef5d19a37275522a8bd1fc6ea041f29d9ae4e1fd9

SHA512: 228f4974ad31c5e04835a983c8a4440eea300c4148db99795d5ceea865fbf811<BR>d7f3a1c5bdd5e7b881d240f0fb5d0767d422e7c4732242ce9936bee1dd32d60d

PEiD..: -

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x100183e0<BR>timedatestamp.....: 0x462f1251 (Wed Apr 25 08:33:21 2007)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 5 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x2fb8f 0x30000 6.22 1b4a2986a64eaabd9dda8b53f69de9fe<BR>.rdata 0x31000 0xf72b 0x10000 4.36 f3a2bad86fed845257256216a11cfe89<BR>.data 0x41000 0x3470 0x2000 2.67 38ac50dcd3315d0084f128227cd85e43<BR>.rsrc 0x45000 0xe2c 0x1000 4.68 8012f9f83490ec47e3f174342432c1a0<BR>.reloc 0x46000 0x4488 0x5000 4.24 971fb398d2830ee293107b847f2e865f<BR><BR>( 5 imports ) <BR>> KERNEL32.dll: FindResourceW, LoadLibraryExW, lstrcmpiW, LoadResource, RaiseException, LeaveCriticalSection, EnterCriticalSection, SizeofResource, MultiByteToWideChar, FreeLibrary, GetLastError, lstrlenW, GetModuleFileNameW, GetModuleHandleW, InterlockedDecrement, InterlockedIncrement, InitializeCriticalSection, DeleteCriticalSection, DisableThreadLibraryCalls, FlushFileBuffers, CreateFileA, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetCurrentProcessId, CloseHandle, SetEvent, OpenEventA, OutputDebugStringA, OutputDebugStringW, lstrlenA, WaitForSingleObject, GetCurrentThreadId, VirtualAlloc, UnmapViewOfFile, GetSystemInfo, MapViewOfFile, CreateFileMappingA, GetCurrentThread, GetVersion, OpenFileMappingA, GetModuleFileNameA, RtlUnwind, HeapValidate, IsBadReadPtr, GetCommandLineA, HeapFree, HeapAlloc, GetProcessHeap, FatalAppExitA, DebugBreak, WideCharToMultiByte, IsDebuggerPresent, GetProcAddress, LoadLibraryA, GetStdHandle, WriteFile, WriteConsoleW, GetFileType, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, ExitProcess, LoadLibraryW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapReAlloc, HeapDestroy, HeapCreate, VirtualFree, GetOEMCP, GetCPInfo, SetHandleCount, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, VirtualQuery, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW<BR>> USER32.dll: CharNextW, UnregisterClassW, MsgWaitForMultipleObjects, PeekMessageA, IsWindowUnicode, DispatchMessageA, DispatchMessageW, TranslateMessage, GetMessageA, GetMessageW<BR>> ADVAPI32.dll: RegSetValueExW, RegEnumKeyExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, SetThreadToken, RevertToSelf, OpenThreadToken, RegQueryInfoKeyW<BR>> ole32.dll: CoTaskMemFree, CoTaskMemAlloc, CoTaskMemRealloc, StringFromGUID2, CoCreateInstance, CoReleaseMarshalData, CoMarshalInterface, CreateStreamOnHGlobal, CoUnmarshalInterface, CoRevokeClassObject, CoRegisterClassObject<BR>> OLEAUT32.dll: -, -, -, -, -, -, -, -<BR><BR>( 4 exports ) <BR>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<BR>

Modifié par Kyra
Kyra Junior Member

Kyra

Posté(e)
  • Auteur
Posté(e)

Désolée, je n'avais pas lu vos réponses, gt en train de poster moi meme le log.

 

 

Donc, je vais de ce pas désinstaller spyware terminator et je vous poste un log Hijackthis, ok?

 

 

Merci beaucoup.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...