Kaspersky dit-il vrai?

[abracadabra75]

Bonjour à tous.

Faisant une analyse complète à l' aide de Kaspersky (version d' évaluation encore valable 18 jours), celui-ci me trouve des virus dans Firefox,thunderbird,java et Foxit reader.

Je n' ai chargé ces logiciels que sur les sites des fabricants, et ne visite pas les sites 'douteux'.

Les spam vont directement à la poubelle sans ouverture, sauf une ou deux lectures par mégarde, sans jamais d' ouverture de pièces jointes.

Je joins donc le rapport de Kaspersky, et d' Hijackthis.

Merci de regarder ça et de me dire ce qu' il en est vraiment, car je ne sais à quoi correspondent les codes donnés par kaspersky.

A+

PS. manifestation anormales aujourd'hui 2 arrêts brutaux sans que je l' aie provoqué avec redémarrage automatique, et un bloquage avec apparition de l' écran bleu avec le gros laïus, genre 'votre système a une grosse panne. Si c' est la première fois que vous voyez cet écran, etc....'

 

Log Kaspersky:

Analyse complète: terminée le 19/07/2008 18:28:29 (événements : 44, objets : , durée : 00:00:00)

19/07/2008 18:28:29 Fin de la tâche

19/07/2008 18:15:02 Détectés: http://www.viruslist.com/fr/advisories/28083 C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll

19/07/2008 18:14:02 Détectés: http://www.viruslist.com/fr/advisories/31010 C:\WINDOWS\system32\java.exe

19/07/2008 18:03:31 Détectés: http://www.viruslist.com/fr/advisories/29548 C:\Program Files\Mozilla Thunderbird\thunderbird.exe

19/07/2008 18:03:24 Détectés: http://www.viruslist.com/fr/advisories/30761 C:\Program Files\Mozilla Firefox\firefox.exe

19/07/2008 18:00:51 Détectés: http://www.viruslist.com/fr/advisories/31010 C:\Program Files\Java\jre1.6.0_05\bin\java.exe

19/07/2008 18:00:32 Détectés: http://www.viruslist.com/fr/advisories/31010 C:\Program Files\Java\jre1.6.0_04\bin\java.exe

19/07/2008 18:00:12 Détectés: http://www.viruslist.com/fr/advisories/31010 C:\Program Files\Java\jre1.6.0_03\bin\java.exe

19/07/2008 17:59:48 Détectés: http://www.viruslist.com/fr/advisories/31010 C:\Program Files\Java\j2re1.4.2_01\bin\eula.dll

19/07/2008 17:58:32 Détectés: http://www.viruslist.com/fr/advisories/29941 C:\Program Files\Foxit Software\Foxit Reader\Foxit Reader.exe

19/07/2008 17:12:47 Lancement de la tâche

 

------------------------------------------------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:07:31, on 19/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\LED\LedWallpaper\LedWallpaper.exe

C:\Program Files\StartClock\StartClock.exe

C:\Program Files\OpenOffice.org 2.4\program\soffice.exe

C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/040C/bl8.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/040C/bl7.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/040C/bl8.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [setRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe

O4 - HKLM\..\Run: [setKbd] SetKbd.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-21-3811100881-38475653-200359940-1007\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'jm')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - S-1-5-21-3811100881-38475653-200359940-1007 Startup: LedWallpaper.exe.lnk = C:\Program Files\LED\LedWallpaper\LedWallpaper.exe (User 'jm')

O4 - S-1-5-21-3811100881-38475653-200359940-1007 Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe (User 'jm')

O4 - S-1-5-21-3811100881-38475653-200359940-1007 Startup: StartClock.exe.lnk = C:\Program Files\StartClock\StartClock.exe (User 'jm')

O4 - S-1-5-21-3811100881-38475653-200359940-1007 User Startup: LedWallpaper.exe.lnk = C:\Program Files\LED\LedWallpaper\LedWallpaper.exe (User 'jm')

O4 - S-1-5-21-3811100881-38475653-200359940-1007 User Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe (User 'jm')

O4 - S-1-5-21-3811100881-38475653-200359940-1007 User Startup: StartClock.exe.lnk = C:\Program Files\StartClock\StartClock.exe (User 'jm')

O4 - Startup: LedWallpaper.lnk = C:\Program Files\LED\LedWallpaper\LedWallpaper.exe

O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe

O4 - Startup: StartClock.lnk = C:\Program Files\StartClock\StartClock.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll

O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 6024 bytes

[Apollo]

Bonsoir.

 

Concernant l'analyse des applications installées sur ton pc, il ne s'agit nullement de virus mais de failles très importantes de sécurité dans Firefox, Thunderbird et les diverses versions de console Java qui sont installés sur ton pc.

 

Pour Firefox et Thunderbird, la simple mise à jour suffira à corriger ces failles.

 

Pour Java tu dois désinstaller tout ce que tu trouves comme versions par ajout/suppression de programmes et installer la toute dernière:

 

va chez Java Sun et télécharge la dernière version.

 

Après installation et redémarrage du navigateur, va dans le panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version et toutes versions antérieures à celle que tu viens d'installer, ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette (ces) ancienne(s) version(s).

 

En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippo

 

Pour le Flash Player, désinstaller la version que tu as et la remplacer par celle-ci: http://www.adobe.com/shockwave/download/do...amp;Lang=French rends-toi sur cette page avec chacun de tes navigateurs mis par défaut pour qu'il soit détecté et installer le bon plug-in.

 

Pour Foxit: mettre à jour ou remplacer par: http://www.foxitsoftware.com/pdf/reader_2/down_reader.htm (2.3 Build 2923)

 

Je regarde ton log en attendant.

 

Quand tu auras installé les mises à jour décrites ci-dessus, ouvre l'interface de Kaspersky, clique sur menaces détectées et purge la liste.

 

Refais une analyse complète des applications.

@+

Modifié le 19 juillet 2008 par Apollo.01

[abracadabra75]

Un grand merci.

J' ai tout remplacé, refait une analyse, et Kaspersky est resté silencieux.

A+

[Apollo]

Bonjour,

 

Il faudra quand-même penser sérieusement à installer un Firewall; Kaspersky antivirus seul ne peut te protéger complètement.

http://www.malekal.com/kerio_firewall.html

 

Fais une analyse avec MalwareBytes après l'avoir configuré comme le préconise Malekal:

http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

 

Fais une analyse complète en sélectionnant tous les disques ou partitions.

Supprime ce qu'il trouve puis prends le rapport qui se trouve dans "Rapports/Logs".

 

Garde cet outil pour des analyses ponctuelles, il est très efficace.

 

Bon dimanche.

[abracadabra75]

Rebonjour.

MalwareBytes n' a rien trouvé.

J' ai chargé Sunbelt Firewall comme conseillé.

Mais est-ce lui qui ralentit toute exécution?

Antérieurement j' avais ZoneAlarm Pro que Kaspersky m' a fait enlever, et n' ai pas le souvenir de tels ralentissements.

Je vais le remettre pour comparer, mais je dois dire que je commence à en avoir marre de bidouiller mon système...

 

En tous cas, merci encore de l' aide apportée.

A+

[Apollo]

Je ne comprends pas trop pourquoi Kerio ferait ralentir le pc et entrer en conflit avec Kaspersky...AV.

 

Mais dis-moi, tu as bien l'antivirus seul et non la suite K Internet Security?

 

Car si tu as la suite KIS, il est évidement inutile d'ajouter un firewall.

 

@++

[abracadabra75]

En regardant de plus près la config de Kaspersky, je trouve ceci sur un de ses écrans:

<Kaspersy Internet Security 2009 contient également les composants Surveillance de l' activité et pare-feu qui permettent d' assurer un contrôle total des applications.>

Donc Sunbelt (est-ce un autre nom de Kerio?) fait double emploi, et je vais l' enlever.

 

Je ne sais si c' est ce que tu appelles la 'suite' K.; lors que je pointe la souris sur la petite icone en bas à droite, l 'intitulé est: ' Kaspersky Antivirus 2008.0.0.xxx'.

 

D' autre part, j' ai évoqué dans mon post initial une instabilité du système (===> écran bleu). Cette anomalie s' est reproduite 2 fois ce matin, et il semblerait qu' un fichier 'sbFw.sys' est en cause.

Je me demande si ce fichier (que je n' ai pas trouvé sur un autre pc ayant le même configuration, même avec l' option 'afficher les fichier système') ne serait pas un malware.

J' ai comme un vague souvenir d' avoir peut-être vu ce nom dans une liste de Kaspersky????

Modifié le 21 juillet 2008 par abracadabra75

[Apollo]

Fais analyser le dit fichier chez VirusTotal:

 

Rendez vous sur cette page: http://www.virustotal.com/fr/

 

Cliquez sur le bouton "parcourir" afin de sélectionner le fichier à analyser; vous êtes prévenus que vous êtes dans une file d'attente avec un temps estimé dans une fourchette de minutes.

 

Si on te dit que ce fichier a déjà été analysé, recommence une nouvelle analyse.

(Je pense qu'il s'agit d'un fichier lié à Sunbelt, donc tu peux le supprimer puisque tu n'en as pas besoin.)

 

A la fin, clique sur "Formaté" et copie/colle le résultat obtenu stp.

 

Et.... bien sûr si tu as KIS2009 il faut désinstaller l'autre Firewall.

[abracadabra75]

Je commence à devenir chauve.....

La recherche de ce fichier (avancée, y compris fichiers système et cachés) ne donne rien!

Pourtant la dernière ligne de l' écran bleu fait mention de ce fichier, je sais encore lire, et j' ai noté le nom par écrit!

Donc, je ne peux le faire analyser.

En une heure: 2 plantages....

 

Il doit bien y avoir une saleté bien planquée.

 

Ps . j' ai enlevé Sunbelt, et la vitesse est redevenue normale, mais Windows signale qu' il n' y a plus de pare-feu. J' ai donc réactivé la passoire de Windows en attendant mieux.

Modifié le 21 juillet 2008 par abracadabra75

[Apollo]

Je pense que ce problème ne relève plus de la section sécurité.

Va exposer ce souci sur le forum dédié au "Software"; c'est l'endroit le mieux indiqué pour les problèmes logiciels et plantages; pour moi ton pc n'est pas infecté.

 

http://forum.zebulon.fr/software-f12.html

 

@++