( RESOLU) VBS.Malware-gen + Win32:trojan-gen(other)+ WIN32-rootkit-gen

[popot]

bonjour Le Sioux,

 

merci pour toutes ces infos, je vais suivre tes conseils et prendre mon temps pour appliquer tes consignes.

 

en ce qui concerne cette fenêtre d'avertissement avast sur un rootkit qui apparait régulierement, quelle attitude dois-je adopter?

 

d'autre part, comme tu me l'a proposé, je voudrais changer avast par antivir, y at'il une façon de faire optimisée?

 

merci encore pour ta participation

[Le sioux]

Bonjour popot

 

Je pensais que tu n'avais eu qu'une alerte de ce genre et qu'après suppression, tu n'en avais pas eu d'autre ...

 

On verra ce qu'en dit Antivir

 

1)Télécharge Avira antivir

 

-- Télécharge Avira antivir PersonalEdition Classic a partir de ce lien :

http://www.free-av.com/ sur ton Bureau.

 

-- Télécharge le désinstalleur d Avast sur ton Bureau http://www.avast.com/fre/avast-uninstall-utility.html

 

2) Désinstallation d'avast!

 

Mets toi hors connexion, puis désinstalle avast! via Démarrer / Paramètres /Panneau de configuration et dans Ajout/ Suppression de programmes, navigue jusqu'à avast! et clique sur Supprimer puis choisis Désinstaller.

Redémarre ton PC comme demandé et supprime C:\Program Files\Alwils Software <--le dossier en gras

 

Ou bien tu peux utiliser le désinstalleur d'avast! si tu préfères.

 

3) Installe et paramètre puis mets a jour Antivir

 

Double-clique sur son set up sur ton Bureau pour lancer l’installation.

 

Une fois celui ci installé,

 

Reconnecte toi afin d’ effectuer sa mise a jour et le paramétrer.

Ferme le scan qui s'est lancé de manière automatique.

 

Paramètre le comme indiqué ici :

http://speedweb1.free.fr/frames2.php?page=tuto5

ou la : http://www.malekal.com/tutorial_antivir.php

 

4) Redémarre en mode sans échec

 

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains PCs) jusqu'à l'affichage du menu des options avancées de Windows.

Sélectionne "Mode sans échec" et appuyer sur [Entrée]

Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

 

Voir si besoin C) http://forum.pcastuces.com/sujet.asp?f=25&s=3902

 

5) Scan Antivirus et nettoyage avec Avira Antivir

 

Lance Avira antivir en faisant un double-clic sur le raccourci d’Antivir sur ton Bureau (ou via Démarrer /tous les programmes /Antivir) puis « Start Antivir »

Clique sur Local protection (colonne à gauche) puis sur « Scanner » puis vérifie à RootKit search et Manuelle détection (en développant avec la petite croix devant chacun d'eux) que tous tes disques durs soient bien cochés, puis clique sur la loupe (en dessous de statut)

Une fenêtre va s’ouvrir « Luke Filewalker » .. le scan va démarrer.

Mets tout ce qu il trouve en "Quarantine"

Une fois le scan achevé, ferme les deux fenêtres d'Antivir et sauvegarde le rapport qui vient d'apparaître sur ton Bureau..

 

6) Rapport

 

Redémarre en mode normal puis poste le rapport d'Antivir (que tu as sauvegardé sur ton Bureau).

 

Tuto http://www.malekal.com/tutorial_antivir.html et/ou http://www.libellules.ch/tuto_antivir.php

 

@ suivre

Modifié le 27 août 2008 par Le sioux

[popot]

bonjour Le Sioux,

 

j'ai commencé à dérouler les manips: ça se passe bien, je suis absent pendant une dizaine de jours, je reprendrais tout ça calmement à mon retour...mais , en attendant, sache que je te suis très reconnaissant de toute ton assistance...je suis époustouflé par autant de compétences et de précisions dans le déroulement du traitement des virus..chapeau bas!!!

 

j'ai fait des scan avec Avast, Spybot,et Malwarebit's Anti-Malware: celui -ci m'a trouvé le fameux rootkit: je l'ai supprimé et depuis hier, je ne l'ai plus revu, donc à suivre..

 

je reprendrais contact quand j'aurais terminé toutes tes instructions, en attendant...bon week-end et bon vent...

[Le sioux]

Bonsoir Popot

 

Merci pour ton ptit mot sympa

 

@ bientôt donc.

[popot]

bonjour Le Sioux, me voila de retour après quelques jours d'absence.

j'ai, comme tu me l'a indiqué, procédé calmement aux différentes manips:

 

1- j'ai supprimé Avast et remplacé par Avira antivir.

 

2-mises à jour Windows.

 

3-désinstallation des anciennes versions de java.

 

4-installation SpyBot-Search & Destroy.

 

5-navigateur Firefox ok

 

6-ci dessous le rapport de avira en mode sans échec (j'ai supprimé le contenu de la quarantaine).

 

7-il me reste à créer un message dans Malware-complaints

 

Avira AntiVir Personal

Report file date: vendredi 19 septembre 2008 18:48

 

Scanning for 1626815 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 3) [5.1.2600]

Boot mode: Save mode

Username: Admin

Computer name: XPSP2-4BAB9B737

 

Version information:

BUILD.DAT : 8.1.0.331 16934 Bytes 12/08/2008 11:46:00

AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 08:57:53

AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 07:56:40

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:19

LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 07:58:52

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34

ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 13:54:15

ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12/09/2008 16:08:27

ANTIVIR3.VDF : 7.0.6.187 216576 Bytes 19/09/2008 16:08:28

Engineversion : 8.1.1.34

AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21

AESCRIPT.DLL : 8.1.0.76 319867 Bytes 19/09/2008 16:08:35

AESCN.DLL : 8.1.0.23 119156 Bytes 10/07/2008 12:44:49

AERDL.DLL : 8.1.1.2 438644 Bytes 19/09/2008 16:08:35

AEPACK.DLL : 8.1.2.1 364917 Bytes 15/07/2008 12:58:35

AEOFFICE.DLL : 8.1.0.25 196986 Bytes 19/09/2008 16:08:34

AEHEUR.DLL : 8.1.0.59 1438071 Bytes 19/09/2008 16:08:33

AEHELP.DLL : 8.1.0.15 115063 Bytes 10/07/2008 12:44:48

AEGEN.DLL : 8.1.0.36 315764 Bytes 19/09/2008 16:08:31

AEEMU.DLL : 8.1.0.7 430452 Bytes 31/07/2008 08:33:21

AECORE.DLL : 8.1.1.11 172406 Bytes 19/09/2008 16:08:29

AEBB.DLL : 8.1.0.1 53617 Bytes 10/07/2008 12:44:48

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:05

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:01

AVREP.DLL : 8.0.0.2 98344 Bytes 19/09/2008 16:08:29

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:40

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:49

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:40

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:48:07

RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:34:37

 

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:,

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: vendredi 19 septembre 2008 18:48

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

11 processes with 11 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '62' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudCgp.zip

[DETECTION] Contains suspicious code GEN/PwdZIP

[NOTE] The detection was classified as suspicious.

[NOTE] The file was moved to '493cdad1.qua'!

 

 

End of the scan: vendredi 19 septembre 2008 19:13

Used time: 25:19 Minute(s)

 

The scan has been done completely.

 

4090 Scanning directories

176241 Files were scanned

0 viruses and/or unwanted programs were found

1 Files were classified as suspicious:

0 files were deleted

0 files were repaired

1 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

176239 Files not concerned

1403 Archives were scanned

1 Warnings

1 Notes

 

merci pour la globalité de la démarche

[Le sioux]

Bonsoir popot

 

Antivir a saisi un élément qui se trouvait dans la quarantaine de Spybot S&D.

 

Par contre, réglages à revoir

 

Search for rootkits..............: off

 

Je t'avais écrit :

Clique sur Local protection (colonne à gauche) puis sur « Scanner » puis vérifie à RootKit search et Manuelle détection (en développant avec la petite croix devant chacun d'eux) que tous tes disques durs soient bien cochés...

 

Penses à effectuer ces réglages avant le prochain scan

 

Sinon, je vois que tu as bien suivis mes conseils, et j'en suis content.

 

Salut.

[popot]

bonjour LE SIOUX,

 

je viens de vérifier dans antivir:

 

rootkit search : disque local C coché

 

manual selection: disque local C coché

 

 

merci encore pour tout

[Le sioux]

Bonsoir popot

 

Très bien.

 

Partage avec ceux qui t'entourent ce que tu as pu apprendre au cours de cette expérience, aide-les à sécuriser leurs PC, à mettre leurs logiciels à jour et à mettre en place des mesures préventives et une attitude de surf "saine" pour éviter les problèmes.

C'est tellement mieux un PC qui fonctionne bien !

 

Si tu n'as pas de soucis dans l'application du reste de mes conseils ici http://forum.zebulon.fr/index.php?s=&s...t&p=1273394

 

Alors, salut, bonne continuation et prudence sur Internet !

Modifié le 22 septembre 2008 par Le sioux

[popot]

bonsoir Le Sioux,

 

je vais continuer de bien m' imprégner de tous les conseils en relisant bien calmement le message que tu rappelle.

 

bravo à toute l'équipe du forum qui fait un travail formidable, non seulement au niveau du règlement des problèmes mais aussi sur le plan pédagogique.

 

bonne continuation....