Configuration Antivir

[Philou22]

Sur les conseils de Sacles après mon post sur le forum prévention: je vous adresse ce rapport d'Hijacktis.

 

Voici le résumé de ma question sur l'autre forum:

 

"Je pense que mon Antivirus Antivir n'est pas bien configuré vu que cela fait déjà 2 fois qu'en faisant un Scan complet il me détecte un Virus type Trojan et qu'il n'y a pas de sonnerie d'alarme. Pourtant la case correspondante est bien activée mais le test est inactif.

De plus, je me demande si ma configuration ne possède pas d'autres erreurs."

 

 

 

 

Scan saved at 22:29:51, on 07/07/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\PASCAL\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\Débits ADSL\eoRezo\EoAdv\EoRezoBHO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\tv\EXPLBAR.DLL

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1201456797046

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

--

End of file - 6072 bytes

 

Merci de votre aide...

[facks]

Bonsoir, pour la configuration d'antivir c'est ici : http://www.malekal.com/tutorial_antivir.php et http://www.libellules.ch/tuto_antivir.php

 

Et pour faciliter le suivi par les autres membres du forum le lien de ton précédant post

http://forum.zebulon.fr/configuration-antivir-t147482.html

Modifié le 7 juillet 2008 par facks

[Philou22]

Bonsoir,

 

Malheureusement, la réponse à mon problème ne se trouve pas dans le tuto de Malekal...

En fait, Sacles se demande si mes infections n'ont pas endommagé le logiciel, ce qui justifie mon post du rapport HijackThis!

A+

[Falkra]

Le rapport n'est pas infectieux en tant que tel. Il faut par contre te débarrasser de EoRezo, ce sont des installatuers de programmes légitimes qui en rajoutent pour t'espionner.

 

Relance HijackThis, coche cette ligne et fais fix checked :

O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\Débits ADSL\eoRezo\EoAdv\EoRezoBHO.dll

 

Débits ADSL, c'est toi qui l'a installé ?

[Philou22]

Rebonsoir,

 

Oui c'est moi qui ait installé EoRezo qui te donne le débit ADSL entrant et sortant...

Quand tu me dis de cocher la case face à la ligne que tu as sélectionné et faire fix checked c'est pour supprimer le petit logiciel Eorezo?

 

A+

[Falkra]

EoRezo, c'est le truc à ne pas installer, tu télécharges le setup, tu installes ton programmes + leurs fichiers qui suivent des habitudes.

Vire-le.

 

Voici des programmes gratuits et non infectieux du même genre :

http://codebox.no-ip.net/controller?page=bitmeter2

http://blog.orbmu2k.de/tools/orbmt-modem-t...sidebar-gadget/

(par exemple, il y en a d'autres)

[Sacles]

Bonjour,

 

Après avoir suivi les conseils de Falkra, il faudrait aussi éclaircir ton "Virus type Trojan" qui, suivant ton message initial, est détecté.

 

Quel est le fichier en cause?

 

Salut.

[Philou22]

Bonjour,

 

1) Ok, je vais supprimer Eorezo. dois je le faire via HijackThis ou ajout/suppression d'un programme!

 

2)En ce qui concerne les 2 virus type Trojan détectés, je les ai deleté et je ne sais pas comment je peux en retrouver la trace!

Ceci dit, vu que je soupçonne mes 2 ados de faire du P2P et tchater sur MSN, je ne suis malheureusement guère surpris.

 

A+

[Philou22]

Rebonjour,

 

J'ai trouvé la trace dans les logs d'Antivir de mes 2 virus. En voici les 2 extraits:

 

1)Begin scan in 'C:\' <FAC70F-4>

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\YANN\Local Settings\Temp\SIntfNT.dll

[DETECTION] Is the Trojan horse TR/Proxy.Ranky.KE.1

[NOTE] The file was deleted!

End of the scan: jeudi 19 juin 2008 13:49

 

2)Starting the file scan:

 

Begin scan in 'C:\' <FAC70F-4>

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{BACC32C6-C160-4EFA-ACBB-96E6458DC9E8}\RP343\A0199234.exe

[DETECTION] Is the Trojan horse TR/Dropper.Gen

[NOTE] The file was deleted!

 

J'espère que ces rapports vous aideront!

 

A+

 

 

End of the scan: mercredi 2 juillet 2008 22:36

[Falkra]

re coucou ....trojan!! erezoo.....ca put le tchat je vous le dis moi!!!!!!..................non!!!!

me trompe peut etre?

Hein ? Ce qui pue c'est cette ponctuation, on n'est pas dans une bande dessinée. Le tchat n'a rien d'abominable en lui-même d'ailleurs, et il n'y a pas de tchat dans cette affaire.

EoRezo, c'est un site où tu télécharges des programmes connus, mais en donnant tes coordonnées (hum) et avec leur installateur, qui t'installe des outils statistiques ( = tracer tes habitudes).

 

Quelques extraits des conditions générales d'utilisation pour EoRezo (conditions que vous acceptez en installant) :

 

J'accepte de recevoir d'eoRezo/Soft2PC et de ses partenaires commerciaux des offres sur mon téléphone portable.

 

A des fins statistiques et pour déduire l'audience française sur Internet, EoRezo peut etre améné à receuillir des informations concernant les sites visités par l'internaute.Ces informations récoltés sont et restent totalement anonymes, et ne permettent en aucun cas de les rattacher à une personne physique.

 

A vous de voir.

 

Suppression depuis ajout/suppr de programmes, puis la ligne HijackThis au post #4 si encore présente après.

 

 

Ensuite télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.