Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Éradication rogue antivirus XP 2008

Patitou

Par Patitou
dans Analyses et éradication malwares

 Partager

Messages recommandés

Patitou Junior Member

Patitou

Posté(e)
  • Auteur
Posté(e)

Coucou

c'est encore moi avec la suite de tes recommandations.

Tout s'est très bien passé : RAS

Cidessous le rapportSDFix et Hijackthis

 

PS : Tu m'as demandé d'enregistrer la discussion en cours mais je dois t'avouer que je l'imprime depuis le début car je lis mieux les instructions papier qu'écran... Je sais c'est la honte! mais je vivrais avec! :P

 

 

Voici le rapport SDFix :

 

 

SDFix: Version 1.220

Run by patricia guillemard on 29/08/2008 at 11:48

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\DOCUME~1\PATRIC~1\LOCALS~1\Temp\.tt18D.tmp - Deleted

C:\DOCUME~1\PATRIC~1\LOCALS~1\Temp\.tt285.tmp - Deleted

C:\DOCUME~1\PATRIC~1\LOCALS~1\Temp\.tt287.tmp - Deleted

C:\DOCUME~1\PATRIC~1\LOCALS~1\Temp\.tt36.tmp - Deleted

C:\DOCUME~1\PATRIC~1\LOCALS~1\Temp\.tt37.tmp - Deleted

C:\DOCUME~1\PATRIC~1\LOCALS~1\Temp\.tt52.tmp - Deleted

C:\DOCUME~1\PATRIC~1\LOCALS~1\Temp\.tt87.tmp - Deleted

C:\DOCUME~1\PATRIC~1\LOCALS~1\Temp\.tt89.tmp - Deleted

C:\DOCUME~1\PATRIC~1\LOCALS~1\Temp\.tt1.tmp.vbs - Deleted

C:\DOCUME~1\PATRIC~1\LOCALS~1\Temp\.tt2.tmp.vbs - Deleted

C:\WINDOWS\system32\autorun.ini - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-29 11:54:09

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:bc,9e,6e,3f,b3,02,c2,7d,4a,00,08,d8,56,10,ac,f0,02,0e,8e,4f,6b,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,be,b0,6a,1b,77,a6,f8,21,2a,9d,a1,3f,3e,26,6b,55,30,..

"khjeh"=hex:0f,f9,c2,79,c5,a9,90,15,57,c7,20,6a,06,a3,2d,61,9c,77,ce,1f,8b,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:55,4f,e2,df,6a,45,15,cc,ef,80,a7,9f,3d,d4,31,5f,8a,20,64,8d,9e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:bc,9e,6e,3f,b3,02,c2,7d,4a,00,08,d8,56,10,ac,f0,02,0e,8e,4f,6b,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,be,b0,6a,1b,77,a6,f8,21,2a,9d,a1,3f,3e,26,6b,55,30,..

"khjeh"=hex:0f,f9,c2,79,c5,a9,90,15,57,c7,20,6a,06,a3,2d,61,9c,77,ce,1f,8b,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:55,4f,e2,df,6a,45,15,cc,ef,80,a7,9f,3d,d4,31,5f,8a,20,64,8d,9e,..

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"

"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:*:Enabled:ActiveSync Application"

"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"

"K:\\Shareaza\\Shareaza.exe"="K:\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza Ultimate File Sharing"

"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Disabled:Azureus"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Webroot\\Spy Sweeper\\SpySweeperUI.exe"="C:\\Program Files\\Webroot\\Spy Sweeper\\SpySweeperUI.exe:*:Enabled:Spy Sweeper"

"C:\\Program Files\\Fichiers communs\\NewTech Infosystems\\LiveUpdate\\LiveUpdate.exe"="C:\\Program Files\\Fichiers communs\\NewTech Infosystems\\LiveUpdate\\LiveUpdate.exe:*:Enabled:LiveUpdate"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Sat 20 Nov 2004 26,112 A..H. --- "C:\WINDOWS\AcerDRV\InsD1211.exe"

Tue 15 Nov 2005 26,112 A..H. --- "C:\WINDOWS\AcerDRV\InsD1215.exe"

Mon 30 Aug 2004 44,032 A..H. --- "C:\WINDOWS\AcerDRV\rescan.exe"

Sat 20 Nov 2004 26,112 A..H. --- "C:\WINDOWS\system32\InsD1211.exe"

Tue 15 Nov 2005 26,112 A..H. --- "C:\WINDOWS\system32\InsD1215.exe"

Wed 6 Aug 2003 24,576 A..H. --- "C:\WINDOWS\system32\KCMDNIns.exe"

Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll"

Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll"

Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIFCD3.dll"

Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll"

Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"

Thu 7 Aug 2003 24,576 A..H. --- "C:\WINDOWS\system32\reboot.exe"

Sat 20 Nov 2004 26,112 A..H. --- "C:\WINDOWS\system32\RemD1211.exe"

Tue 15 Nov 2005 26,112 A..H. --- "C:\WINDOWS\system32\RemD1215.exe"

Mon 30 Aug 2004 44,032 A..H. --- "C:\WINDOWS\system32\rescan.exe"

Mon 24 Sep 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv03.tmp"

Wed 27 Aug 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\71fa8e4b1f1c72b0e3a5d30a0a049f55\BIT31.tmp"

Wed 19 Dec 2007 4,680,704 ...H. --- "C:\Documents and Settings\patricia guillemard\Application Data\Microsoft\Word\~WRL1841.tmp"

 

Finished!

 

 

...et le HiJackThis :

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:04:19, on 29/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\uTorrent\utorrent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe

C:\Program Files\e-Carte Bleue Banque Populaire\ecbl-nxbp.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Webroot\Spy Sweeper\SSU.EXE

C:\Documents and Settings\patricia guillemard\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [eDataSecurity Loader] "C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" 1

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\Avast4\ashWebSv.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [spySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray

O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\utorrent.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe

O4 - Global Startup: e-Carte Bleue Banque Populaire.lnk = C:\Program Files\e-Carte Bleue Banque Populaire\ecbl-nxbp.exe

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1164045805325

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

 

--

End of file - 8370 bytes

 

 

A plus tard

Merci tout plein, je te suis redevable.

 

 

 

 

Bonsoir patitou

 

Regarde mon message, juste au dessus ici : http://forum.zebulon.fr/index.php?s=&s...t&p=1274691

 

Puis fais cela stp :

 

Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en format HTLM afin dappliquer la procédure comme il faut, pour cela :

* Avec Firefox

- clique sur le menu Fichier (en haut à gauche), puis choisis Enregistrer sous...

- dans la boîte de dialogue Enregistrer sous, pour le champ "Enregistrer dans" (en haut), clique sur la flèche de la "liste déroulante" et choisis Bureau; pour le champ "Type", laisse Page Web complète; pour le champ "Nom du fichier", saisis Discussion en cours; termine en cliquant sur Enregistrer

* Avec Internet Explorer 7, presse la touche Alt pour faire apparaître le menu et suis les mêmes instructions quavec FireFox.

Pour afficher la page (après redémarrage), double-clique sur "Discussion en cours.htm" situé sur le Bureau.

(Tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)

 

Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

1) Télécharge SDFix d' AndyManchesta

 

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe sur ton Bureau.

 

Double-clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\)

N'y touche pas pour l'instant.

 

2) Redémarre en mode sans échec

 

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains PCs) jusqu'à l'affichage du menu des options avancées de Windows.

Sélectionne "Mode sans échec" et appuie sur [Entrée]

Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

 

Double-clique sur "Discussion en cours.htm" situé sur ton Bureau afin de suivre les instructions comme il faut.

3) SDFix

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

 

4) Rapports :

 

Poste un nouveau rapport HijackThis et le rapport de SDFix en réponse.

PS : N'oublie pas de me poster aussi le rapport d'OTMoveIt de la manip précédente; Merci

 

@ suivre

Le sioux Full Patch Member

Le sioux

Posté(e)
Posté(e) (modifié)

Bonjour Patitou

 

PS : Tu m'as demandé d'enregistrer la discussion en cours mais je dois t'avouer que je l'imprime depuis le début car je lis mieux les instructions papier qu'écran... Je sais c'est la honte! mais je vivrais avec!

:P

Le principal est que tu arrives à suivre mes instructions et que tu les trouves claires et précises. :P

 

Au moment de la commande "Movelt " j'ai mon antivirus (Avast) qui s'est brutalement rendu compte que je "jouais" avec des virus et autres infections et qui m'a envoyé 4 ou 5 messages d'alerte (mieux vaut tard que jamais).

Ne sachant que faire pour ne pas compromettre ton travail, j'ai opté pour la mise en quarantaine...j'espère que je n'ai pas fait de bêtises.

Avast as du saisir C:\Documents and Settings\patricia guillemard\Mes documents\Downloads\Windows XP Ultimate-Edition 7 SP3 By Mad Dog\ULTIMATE EDITION V7.iso car OTMoveIt l'a déclaré "not found"

A propos d'avast! :

Sache qu'avec avast!, tu n es pas très bien protégé: il te l'a prouvé ...

 

Comparatif avast! VS Antivir : http://forum.malekal.com/ftopic3528.php

 

Si tu es d accord et que tu te décides à installer Antivir (plus efficace, plus léger, mais en anglais simple à utiliser) , il va te falloir désinstaller avast! d abord, je peux t indiquer comment procéder dans un prochain poste.

 

1) Désinstallation de uTorrent

 

Menu Démarrer / Paramètres /Panneau de configuration et dans Ajout/ Suppression de programmes, navigue jusqu'à uTorrent et clique sur Supprimer

Redémarre ton PC si demandé.

 

2) OTMoveIt de Old_Timer

 

Double clique sur OTMoveIt.exe pour le lancer.

Copie la liste qui se trouve en citation ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt :

Paste standard List of Files/Folders to be moved.

 

C:\Documents and Settings\patricia guillemard\Mes documents\Downloads\Windows XP Ultimate-Edition 7 SP3 By Mad Dog

C:\Program Files\uTorrent

Clique sur MoveIt! pour lancer la suppression.

Le résultat apparaîtra dans le cadre Results.

Clique sur Exit pour fermer.

 

Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.

si c'est le cas accepte par Yes.

 

--> Poste le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure) et un nouveau rapport HijackThis.

Que donne ton PC ? Fonctionne t-il mieux ?

 

@ suivre

Modifié par Le sioux
Patitou Junior Member

Patitou

Posté(e)
  • Auteur
Posté(e)

Coucou Le Sioux

 

J'ai désinstallé Utorrent comme tu l'as demandé.

Je pense que je me suis faite avoir car j'étais passée par le site payant "Utorrent"et j'avais acheté l'accès au logiciel. Cela voudrait-il dire que en même temps que le fichier, je recevais l'infection? Si c'est le cas quelle bande de C... que l'équipe Utorrent! :P

 

Par ailleurs, je suis d'accord pour changer d'antivirus et je suivrai tes conseils; j'avais bien remarqué qu'Avast ne remplissait pas convenablement sa fonction d'antivirus.

 

Je crois que je vais encore avoir besoin de toi un petit moment...

 

A suivre...

 

 

PS : Mon PC ne m'a pas demandé de rebooter...à aucun moment. Est-ce normal?

 

Et pour répondre à ta dernière question, je constate que mon PC fait "moins de bruit" :P c'est à dire beaucoup moins d'accès disque sans raison et il me semble plus rapide à exécuter ce que je lui demande... mais cela reste subjectif pour l'instant.

 

 

Je t'envoie le rapport de OTMoveIt :

 

 

File/Folder C:\Documents and Settings\patricia guillemard\Mes documents\Downloads\Windows XP Ultimate-Edition 7 SP3 By Mad Dog not found.

C:\Program Files\uTorrent moved successfully.

 

 

 

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08292008_145641

 

 

 

Bonjour Patitou

 

 

:P

Le principal est que tu arrives à suivre mes instructions et que tu les trouves claires et précises. :P

 

 

Avast as du saisir C:\Documents and Settings\patricia guillemard\Mes documents\Downloads\Windows XP Ultimate-Edition 7 SP3 By Mad Dog\ULTIMATE EDITION V7.iso car OTMoveIt l'a déclaré "not found"

A propos d'avast! :

Sache qu'avec avast!, tu n es pas très bien protégé: il te l'a prouvé ...

 

Comparatif avast! VS Antivir : http://forum.malekal.com/ftopic3528.php

 

Si tu es d accord et que tu te décides à installer Antivir (plus efficace, plus léger, mais en anglais simple à utiliser) , il va te falloir désinstaller avast! d abord, je peux t indiquer comment procéder dans un prochain poste.

 

1) Désinstallation de uTorrent

 

Menu Démarrer / Paramètres /Panneau de configuration et dans Ajout/ Suppression de programmes, navigue jusqu'à uTorrent et clique sur Supprimer

Redémarre ton PC si demandé.

 

2) OTMoveIt de Old_Timer

 

Double clique sur OTMoveIt.exe pour le lancer.

Copie la liste qui se trouve en citation ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt :

Paste standard List of Files/Folders to be moved.

 

 

Clique sur MoveIt! pour lancer la suppression.

Le résultat apparaîtra dans le cadre Results.

Clique sur Exit pour fermer.

 

Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.

si c'est le cas accepte par Yes.

 

--> Poste le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure) et un nouveau rapport HijackThis.

Que donne ton PC ? Fonctionne t-il mieux ?

 

@ suivre

Patitou Junior Member

Patitou

Posté(e)
  • Auteur
Posté(e)

Ccoucou Le Sioux

Je fais suivre le message qui précède car je ne suis pas sûre d'avoir posté le bon.Oups! désolée.

 

Coucou Le Sioux

 

J'ai désinstallé Utorrent comme tu l'as demandé.

Je pense que je me suis faite avoir car j'étais passée par le site payant "Utorrent"et j'avais acheté l'accès au logiciel. Cela voudrait-il dire que en même temps que le fichier, je recevais l'infection? Si c'est le cas quelle bande de C... que l'équipe Utorrent! enerve.gif

 

Par ailleurs, je suis d'accord pour changer d'antivirus et je suivrai tes conseils; j'avais bien remarqué qu'Avast ne remplissait pas convenablement sa fonction d'antivirus.

 

Je crois que je vais encore avoir besoin de toi un petit moment...

 

A suivre...

 

 

PS : Mon PC ne m'a pas demandé de rebooter...à aucun moment. Est-ce normal?

 

Et pour répondre à ta dernière question, je constate que mon PC fait "moins de bruit" icon_wink.gif c'est à dire beaucoup moins d'accès disque sans raison et il me semble plus rapide à exécuter ce que je lui demande... mais cela reste subjectif pour l'instant.

 

 

Je t'envoie le rapport de OTMoveIt :

 

 

File/Folder C:\Documents and Settings\patricia guillemard\Mes documents\Downloads\Windows XP Ultimate-Edition 7 SP3 By Mad Dog not found.

C:\Program Files\uTorrent moved successfully.

 

 

 

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08292008_145641

 

Coucou Le Sioux

 

J'ai désinstallé Utorrent comme tu l'as demandé.

Je pense que je me suis faite avoir car j'étais passée par le site payant "Utorrent"et j'avais acheté l'accès au logiciel. Cela voudrait-il dire que en même temps que le fichier, je recevais l'infection? Si c'est le cas quelle bande de C... que l'équipe Utorrent! :P

 

Par ailleurs, je suis d'accord pour changer d'antivirus et je suivrai tes conseils; j'avais bien remarqué qu'Avast ne remplissait pas convenablement sa fonction d'antivirus.

 

Je crois que je vais encore avoir besoin de toi un petit moment...

 

A suivre...

 

 

PS : Mon PC ne m'a pas demandé de rebooter...à aucun moment. Est-ce normal?

 

Et pour répondre à ta dernière question, je constate que mon PC fait "moins de bruit" :P c'est à dire beaucoup moins d'accès disque sans raison et il me semble plus rapide à exécuter ce que je lui demande... mais cela reste subjectif pour l'instant.

 

 

Je t'envoie le rapport de OTMoveIt :

 

 

File/Folder C:\Documents and Settings\patricia guillemard\Mes documents\Downloads\Windows XP Ultimate-Edition 7 SP3 By Mad Dog not found.

C:\Program Files\uTorrent moved successfully.

 

 

 

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08292008_145641

Le sioux Full Patch Member

Le sioux

Posté(e)
Posté(e)

Bonsoir Patitou

 

C'est une bonne chose que le PC se porte un peu mieux. :P

 

J'ai désinstallé Utorrent comme tu l'as demandé.

Je pense que je me suis faite avoir car j'étais passée par le site payant "Utorrent"et j'avais acheté l'accès au logiciel. Cela voudrait-il dire que en même temps que le fichier, je recevais l'infection? Si c'est le cas quelle bande de C... que l'équipe Utorrent! :P

Il est possible que cela vienne de lui :

* Les conséquences du P2P :

(P2P = l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent, Utorrent etc ...):

http://forum.zebulon.fr/prevention-le-p2p-...ces-t85544.html

* Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793

 

Par contre je ne savais pas que tu l'avais payé, sinon, par principe, je ne te l'aurai peut être pas fait désinstaller.

 

PS : Mon PC ne m'a pas demandé de rebooter...à aucun moment. Est-ce normal?

Pas de soucis si cela n'a pas été demandé par OTMoveIt :P

 

Par ailleurs, je suis d'accord pour changer d'antivirus et je suivrai tes conseils; j'avais bien remarqué qu'Avast ne remplissait pas convenablement sa fonction d'antivirus.

 

Je crois que je vais encore avoir besoin de toi un petit moment...

Pas de problème, c'est parti :

 

1)Télécharge Avira antivir

 

-- Télécharge Avira antivir PersonalEdition Classic a partir de ce lien :

http://www.free-av.com/ sur ton Bureau.

 

-- Télécharge le désinstalleur d Avast sur ton Bureau http://www.avast.com/fre/avast-uninstall-utility.html

 

2) Désinstallation d'avast!

 

Mets toi hors connexion, puis désinstalle avast! via Démarrer / Paramètres /Panneau de configuration et dans Ajout/ Suppression de programmes, navigue jusqu'à avast! et clique sur Supprimer puis choisis Désinstaller.

Redémarre ton PC comme demandé et supprime C:\Program Files\Alwils Software <--le dossier en gras

 

Ou bien tu peux utiliser le désinstalleur d'avast! si tu préfères.

 

3) Installe et paramètre puis mets a jour Antivir

 

Double-clique sur son set up sur ton Bureau pour lancer l’installation.

 

Une fois celui ci installé,

 

Reconnecte toi afin d’ effectuer sa mise a jour et le paramétrer.

Ferme le scan qui s'est lancé de manière automatique.

Redémarre ton PC en mode normal si demandé.

 

Paramètre le comme indiqué ici :

http://speedweb1.free.fr/frames2.php?page=tuto5

ou la : http://www.malekal.com/tutorial_antivir.php

 

4) Redémarre en mode sans échec

 

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains PCs) jusqu'à l'affichage du menu des options avancées de Windows.

Sélectionne "Mode sans échec" et appuyer sur [Entrée]

Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

 

Voir si besoin C) http://forum.pcastuces.com/sujet.asp?f=25&s=3902

 

5) Scan Antivirus et nettoyage avec Avira Antivir

 

Lance Avira antivir en faisant un double-clic sur le raccourci d’Antivir sur ton Bureau (ou via Démarrer /tous les programmes /Antivir) puis « Start Antivir »

Clique sur Local protection (colonne à gauche) puis sur « Scanner » puis vérifie à RootKit search et Manuelle détection (en développant avec la petite croix devant chacun d'eux) que tous tes disques durs soient bien cochés, puis clique sur la loupe (en dessous de statut)

Une fenêtre va s’ouvrir « Luke Filewalker » .. le scan va démarrer.

Mets tout ce qu il trouve en "Quarantine"

Une fois le scan achevé, ferme les deux fenêtres d'Antivir et sauvegarde le rapport qui vient d'apparaître sur ton Bureau..

 

6) Rapport

 

Redémarre en mode normal puis poste le rapport d'Antivir (que tu as sauvegardé sur ton Bureau).

 

Tuto http://www.malekal.com/tutorial_antivir.html et/ou http://www.libellules.ch/tuto_antivir.php

 

@ suivre.

Patitou Junior Member

Patitou

Posté(e)
  • Auteur
Posté(e)

Coucouc Le Sioux

 

Ca y est, j'ai fait tout ce que tu m'as demandé!

 

Ne t'inquiète pas pour Utorrent, je l'ai supprimé sans état d'âme quand bien même payant.

 

En ce qui concerne Antivir, je suis allée voir le tutorial de paramétrages mais je n'ai pas semble-il la même interface...j'espère que j'emploie le bon vocabulaire (corrige-moi le cas échéant... il n'est jamais trop tard pour apprendre!)

Je n'ai pas les appelés "action on malware" et "heuristic" par exemple...

Cela vient peut-être d'une version différente? Alors j'ai paramétré avec ce qui me semblait être identique sur les deux versions...

 

Bon quoi qu'il en soit j'ai effectué le scan Antivir en mode sans échec dont voici le rapport (il y a encore des trucs qui clochent, je crois...)

 

Encore mille mercis

A suivre...

 

 

 

Avira AntiVir Personal

Report file date: samedi 30 août 2008 11:41

 

Scanning for 1582788 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Boot mode: Save mode

Username: patricia guillemard

Computer name: ACER-7989E0343A

 

Version information:

BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00

AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56

AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37

LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23

LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34

ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 08:31:30

ANTIVIR2.VDF : 7.0.6.60 2802176 Bytes 24/08/2008 08:31:53

ANTIVIR3.VDF : 7.0.6.92 195584 Bytes 29/08/2008 08:31:55

Engineversion : 8.1.1.23

AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21

AESCRIPT.DLL : 8.1.0.68 315770 Bytes 30/08/2008 08:32:14

AESCN.DLL : 8.1.0.23 119156 Bytes 30/08/2008 08:32:13

AERDL.DLL : 8.1.0.20 418165 Bytes 30/08/2008 08:32:12

AEPACK.DLL : 8.1.2.1 364917 Bytes 30/08/2008 08:32:09

AEOFFICE.DLL : 8.1.0.22 192890 Bytes 30/08/2008 08:32:07

AEHEUR.DLL : 8.1.0.50 1388918 Bytes 30/08/2008 08:32:06

AEHELP.DLL : 8.1.0.15 115063 Bytes 30/08/2008 08:32:01

AEGEN.DLL : 8.1.0.36 315764 Bytes 30/08/2008 08:32:00

AEEMU.DLL : 8.1.0.7 430452 Bytes 30/08/2008 08:31:59

AECORE.DLL : 8.1.1.8 172406 Bytes 30/08/2008 08:31:57

AEBB.DLL : 8.1.0.1 53617 Bytes 30/08/2008 08:31:56

AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53

AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50

AVREP.DLL : 8.0.0.2 98344 Bytes 30/08/2008 08:31:55

AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23

AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10

RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25

RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

 

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:, D:, E:, F:, G:, H:, I:, J:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: samedi 30 août 2008 11:41

 

Starting search for hidden objects.

The driver could not be initialized.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'SpySweeper.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

13 processes with 13 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

Master boot sector HD1

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

Master boot sector HD2

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

Master boot sector HD3

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

Master boot sector HD4

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Boot sector 'D:\'

[iNFO] No virus was found!

Boot sector 'E:\'

[iNFO] In the drive 'E:\' no data medium is inserted!

Boot sector 'F:\'

[iNFO] In the drive 'F:\' no data medium is inserted!

Boot sector 'G:\'

[iNFO] In the drive 'G:\' no data medium is inserted!

Boot sector 'H:\'

[iNFO] In the drive 'H:\' no data medium is inserted!

 

Starting to scan the registry.

The registry was scanned ( '30' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <ACER>

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP480\A0106306.exe

[DETECTION] Contains detection pattern of the dropper DR/Tool.Reboot.F.105

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP480\A0106306.exe

[0] Archive type: RAR SFX (self extracting)

--> SmitfraudFix\restart.exe

[DETECTION] Contains detection pattern of the SPR/Tool.Hardoff.A program

[NOTE] The file was moved to '48ea2235.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP480\A0106318.exe

[DETECTION] Contains detection pattern of the SPR/Tool.Hardoff.A program

[NOTE] The file was moved to '48ea223a.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0106786.scr

[DETECTION] Contains detection pattern of the joke program JOKE/BlueScreen.B

[NOTE] The file was moved to '48ea2253.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0106801.scr

[DETECTION] Contains detection pattern of the joke program JOKE/BlueScreen.B

[NOTE] The file was moved to '48ea2256.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0107851.exe

[DETECTION] Is the Trojan horse TR/Fraud.AV2008.J

[NOTE] The file was moved to '48ea225b.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0107853.scr

[DETECTION] Contains detection pattern of the joke program JOKE/BlueScreen.B

[NOTE] The file was moved to '48ea225e.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0107854.exe

[DETECTION] Is the Trojan horse TR/Fakealert.Ace.7

[NOTE] The file was moved to '48ea2261.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP486\A0107864.exe

[DETECTION] Contains detection pattern of the application APPL/BoontyGames

[NOTE] The file was moved to '48ea2267.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP487\A0108101.vbs

[DETECTION] Contains detection pattern of the VBS script virus VBS/Agent.1002

[NOTE] The file was moved to '48ea2271.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP487\A0108102.vbs

[DETECTION] Contains detection pattern of the VBS script virus VBS/Agent.1002

[NOTE] The file was moved to '48ea2274.qua'!

C:\unzipped\Bubble shooter Deluxe + Serial\BubbleSD\bshooter.exe

[DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Armadillo). Please verify the origin of the file

[NOTE] The file was moved to '492122c6.qua'!

C:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

C:\_OTMoveIt\MovedFiles\08292008_105541\Documents and Settings\patricia guillemard\Local Settings\Temp\.tt197.tmp

[DETECTION] Is the Trojan horse TR/Drop.Frau.AV08.A

[NOTE] The file was moved to '492d278e.qua'!

Begin scan in 'D:\' <ACERDATA>

Begin scan in 'E:\'

Search path E:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'F:\'

Search path F:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'G:\'

Search path G:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'H:\'

Search path H:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'I:\'

Search path I:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'J:\'

Search path J:\ could not be opened!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: samedi 30 août 2008 12:55

Used time: 1:14:28 min

 

The scan has been done completely.

 

7559 Scanning directories

517760 Files were scanned

13 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

12 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

517747 Files not concerned

9007 Archives were scanned

6 Warnings

12 Notes

 

 

 

 

 

Bonsoir Patitou

 

C'est une bonne chose que le PC se porte un peu mieux. :P

 

 

Il est possible que cela vienne de lui :

* Les conséquences du P2P :

(P2P = l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent, Utorrent etc ...):

http://forum.zebulon.fr/prevention-le-p2p-...ces-t85544.html

* Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793

 

Par contre je ne savais pas que tu l'avais payé, sinon, par principe, je ne te l'aurai peut être pas fait désinstaller.

 

 

Pas de soucis si cela n'a pas été demandé par OTMoveIt :P

 

 

Pas de problème, c'est parti :

 

1)Télécharge Avira antivir

 

-- Télécharge Avira antivir PersonalEdition Classic a partir de ce lien :

http://www.free-av.com/ sur ton Bureau.

 

-- Télécharge le désinstalleur d Avast sur ton Bureau http://www.avast.com/fre/avast-uninstall-utility.html

 

2) Désinstallation d'avast!

 

Mets toi hors connexion, puis désinstalle avast! via Démarrer / Paramètres /Panneau de configuration et dans Ajout/ Suppression de programmes, navigue jusqu'à avast! et clique sur Supprimer puis choisis Désinstaller.

Redémarre ton PC comme demandé et supprime C:\Program Files\Alwils Software <--le dossier en gras

 

Ou bien tu peux utiliser le désinstalleur d'avast! si tu préfères.

 

3) Installe et paramètre puis mets a jour Antivir

 

Double-clique sur son set up sur ton Bureau pour lancer l’installation.

 

Une fois celui ci installé,

 

Reconnecte toi afin d’ effectuer sa mise a jour et le paramétrer.

Ferme le scan qui s'est lancé de manière automatique.

Redémarre ton PC en mode normal si demandé.

 

Paramètre le comme indiqué ici :

http://speedweb1.free.fr/frames2.php?page=tuto5

ou la : http://www.malekal.com/tutorial_antivir.php

 

4) Redémarre en mode sans échec

 

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains PCs) jusqu'à l'affichage du menu des options avancées de Windows.

Sélectionne "Mode sans échec" et appuyer sur [Entrée]

Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

 

Voir si besoin C) http://forum.pcastuces.com/sujet.asp?f=25&s=3902

 

5) Scan Antivirus et nettoyage avec Avira Antivir

 

Lance Avira antivir en faisant un double-clic sur le raccourci d’Antivir sur ton Bureau (ou via Démarrer /tous les programmes /Antivir) puis « Start Antivir »

Clique sur Local protection (colonne à gauche) puis sur « Scanner » puis vérifie à RootKit search et Manuelle détection (en développant avec la petite croix devant chacun d'eux) que tous tes disques durs soient bien cochés, puis clique sur la loupe (en dessous de statut)

Une fenêtre va s’ouvrir « Luke Filewalker » .. le scan va démarrer.

Mets tout ce qu il trouve en "Quarantine"

Une fois le scan achevé, ferme les deux fenêtres d'Antivir et sauvegarde le rapport qui vient d'apparaître sur ton Bureau..

 

6) Rapport

 

Redémarre en mode normal puis poste le rapport d'Antivir (que tu as sauvegardé sur ton Bureau).

 

Tuto http://www.malekal.com/tutorial_antivir.html et/ou http://www.libellules.ch/tuto_antivir.php

 

@ suivre.

Patitou Junior Member

Patitou

Posté(e)
  • Auteur
Posté(e)

Coucouc Le Sioux

 

Ca y est, j'ai fait tout ce que tu m'as demandé!

 

Ne t'inquiète pas pour Utorrent, je l'ai supprimé sans état d'âme quand bien même payant.

 

En ce qui concerne Antivir, je suis allée voir le tutorial de paramétrages mais je n'ai pas semble-il la même interface...j'espère que j'emploie le bon vocabulaire (corrige-moi le cas échéant... il n'est jamais trop tard pour apprendre!)

Je n'ai pas les appelés "action on malware" et "heuristic" par exemple...

Cela vient peut-être d'une version différente? Alors j'ai paramétré avec ce qui me semblait être identique sur les deux versions...

 

Bon quoi qu'il en soit j'ai effectué le scan Antivir en mode sans échec dont voici le rapport (il y a encore des trucs qui clochent, je crois...)

 

Encore mille mercis

A suivre...

 

 

 

Avira AntiVir Personal

Report file date: samedi 30 août 2008 11:41

 

Scanning for 1582788 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Boot mode: Save mode

Username: patricia guillemard

Computer name: ACER-7989E0343A

 

Version information:

BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00

AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56

AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37

LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23

LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34

ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 08:31:30

ANTIVIR2.VDF : 7.0.6.60 2802176 Bytes 24/08/2008 08:31:53

ANTIVIR3.VDF : 7.0.6.92 195584 Bytes 29/08/2008 08:31:55

Engineversion : 8.1.1.23

AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21

AESCRIPT.DLL : 8.1.0.68 315770 Bytes 30/08/2008 08:32:14

AESCN.DLL : 8.1.0.23 119156 Bytes 30/08/2008 08:32:13

AERDL.DLL : 8.1.0.20 418165 Bytes 30/08/2008 08:32:12

AEPACK.DLL : 8.1.2.1 364917 Bytes 30/08/2008 08:32:09

AEOFFICE.DLL : 8.1.0.22 192890 Bytes 30/08/2008 08:32:07

AEHEUR.DLL : 8.1.0.50 1388918 Bytes 30/08/2008 08:32:06

AEHELP.DLL : 8.1.0.15 115063 Bytes 30/08/2008 08:32:01

AEGEN.DLL : 8.1.0.36 315764 Bytes 30/08/2008 08:32:00

AEEMU.DLL : 8.1.0.7 430452 Bytes 30/08/2008 08:31:59

AECORE.DLL : 8.1.1.8 172406 Bytes 30/08/2008 08:31:57

AEBB.DLL : 8.1.0.1 53617 Bytes 30/08/2008 08:31:56

AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53

AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50

AVREP.DLL : 8.0.0.2 98344 Bytes 30/08/2008 08:31:55

AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23

AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10

RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25

RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

 

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:, D:, E:, F:, G:, H:, I:, J:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: samedi 30 août 2008 11:41

 

Starting search for hidden objects.

The driver could not be initialized.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'SpySweeper.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

13 processes with 13 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

Master boot sector HD1

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

Master boot sector HD2

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

Master boot sector HD3

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

Master boot sector HD4

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Boot sector 'D:\'

[iNFO] No virus was found!

Boot sector 'E:\'

[iNFO] In the drive 'E:\' no data medium is inserted!

Boot sector 'F:\'

[iNFO] In the drive 'F:\' no data medium is inserted!

Boot sector 'G:\'

[iNFO] In the drive 'G:\' no data medium is inserted!

Boot sector 'H:\'

[iNFO] In the drive 'H:\' no data medium is inserted!

 

Starting to scan the registry.

The registry was scanned ( '30' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <ACER>

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP480\A0106306.exe

[DETECTION] Contains detection pattern of the dropper DR/Tool.Reboot.F.105

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP480\A0106306.exe

[0] Archive type: RAR SFX (self extracting)

--> SmitfraudFix\restart.exe

[DETECTION] Contains detection pattern of the SPR/Tool.Hardoff.A program

[NOTE] The file was moved to '48ea2235.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP480\A0106318.exe

[DETECTION] Contains detection pattern of the SPR/Tool.Hardoff.A program

[NOTE] The file was moved to '48ea223a.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0106786.scr

[DETECTION] Contains detection pattern of the joke program JOKE/BlueScreen.B

[NOTE] The file was moved to '48ea2253.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0106801.scr

[DETECTION] Contains detection pattern of the joke program JOKE/BlueScreen.B

[NOTE] The file was moved to '48ea2256.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0107851.exe

[DETECTION] Is the Trojan horse TR/Fraud.AV2008.J

[NOTE] The file was moved to '48ea225b.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0107853.scr

[DETECTION] Contains detection pattern of the joke program JOKE/BlueScreen.B

[NOTE] The file was moved to '48ea225e.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0107854.exe

[DETECTION] Is the Trojan horse TR/Fakealert.Ace.7

[NOTE] The file was moved to '48ea2261.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP486\A0107864.exe

[DETECTION] Contains detection pattern of the application APPL/BoontyGames

[NOTE] The file was moved to '48ea2267.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP487\A0108101.vbs

[DETECTION] Contains detection pattern of the VBS script virus VBS/Agent.1002

[NOTE] The file was moved to '48ea2271.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP487\A0108102.vbs

[DETECTION] Contains detection pattern of the VBS script virus VBS/Agent.1002

[NOTE] The file was moved to '48ea2274.qua'!

C:\unzipped\Bubble shooter Deluxe + Serial\BubbleSD\bshooter.exe

[DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Armadillo). Please verify the origin of the file

[NOTE] The file was moved to '492122c6.qua'!

C:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

C:\_OTMoveIt\MovedFiles\08292008_105541\Documents and Settings\patricia guillemard\Local Settings\Temp\.tt197.tmp

[DETECTION] Is the Trojan horse TR/Drop.Frau.AV08.A

[NOTE] The file was moved to '492d278e.qua'!

Begin scan in 'D:\' <ACERDATA>

Begin scan in 'E:\'

Search path E:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'F:\'

Search path F:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'G:\'

Search path G:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'H:\'

Search path H:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'I:\'

Search path I:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'J:\'

Search path J:\ could not be opened!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: samedi 30 août 2008 12:55

Used time: 1:14:28 min

 

The scan has been done completely.

 

7559 Scanning directories

517760 Files were scanned

13 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

12 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

517747 Files not concerned

9007 Archives were scanned

6 Warnings

12 Notes

Coucouc Le Sioux

 

Ca y est, j'ai fait tout ce que tu m'as demandé!

 

Ne t'inquiète pas pour Utorrent, je l'ai supprimé sans état d'âme quand bien même payant.

 

En ce qui concerne Antivir, je suis allée voir le tutorial de paramétrages mais je n'ai pas semble-il la même interface...j'espère que j'emploie le bon vocabulaire (corrige-moi le cas échéant... il n'est jamais trop tard pour apprendre!)

Je n'ai pas les appelés "action on malware" et "heuristic" par exemple...

Cela vient peut-être d'une version différente? Alors j'ai paramétré avec ce qui me semblait être identique sur les deux versions...

 

Bon quoi qu'il en soit j'ai effectué le scan Antivir en mode sans échec dont voici le rapport (il y a encore des trucs qui clochent, je crois...)

 

Encore mille mercis

A suivre...

 

 

 

Avira AntiVir Personal

Report file date: samedi 30 août 2008 11:41

 

Scanning for 1582788 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Boot mode: Save mode

Username: patricia guillemard

Computer name: ACER-7989E0343A

 

Version information:

BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00

AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56

AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37

LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23

LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34

ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 08:31:30

ANTIVIR2.VDF : 7.0.6.60 2802176 Bytes 24/08/2008 08:31:53

ANTIVIR3.VDF : 7.0.6.92 195584 Bytes 29/08/2008 08:31:55

Engineversion : 8.1.1.23

AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21

AESCRIPT.DLL : 8.1.0.68 315770 Bytes 30/08/2008 08:32:14

AESCN.DLL : 8.1.0.23 119156 Bytes 30/08/2008 08:32:13

AERDL.DLL : 8.1.0.20 418165 Bytes 30/08/2008 08:32:12

AEPACK.DLL : 8.1.2.1 364917 Bytes 30/08/2008 08:32:09

AEOFFICE.DLL : 8.1.0.22 192890 Bytes 30/08/2008 08:32:07

AEHEUR.DLL : 8.1.0.50 1388918 Bytes 30/08/2008 08:32:06

AEHELP.DLL : 8.1.0.15 115063 Bytes 30/08/2008 08:32:01

AEGEN.DLL : 8.1.0.36 315764 Bytes 30/08/2008 08:32:00

AEEMU.DLL : 8.1.0.7 430452 Bytes 30/08/2008 08:31:59

AECORE.DLL : 8.1.1.8 172406 Bytes 30/08/2008 08:31:57

AEBB.DLL : 8.1.0.1 53617 Bytes 30/08/2008 08:31:56

AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53

AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50

AVREP.DLL : 8.0.0.2 98344 Bytes 30/08/2008 08:31:55

AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23

AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10

RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25

RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

 

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:, D:, E:, F:, G:, H:, I:, J:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: samedi 30 août 2008 11:41

 

Starting search for hidden objects.

The driver could not be initialized.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'SpySweeper.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

13 processes with 13 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

Master boot sector HD1

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

Master boot sector HD2

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

Master boot sector HD3

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

Master boot sector HD4

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Boot sector 'D:\'

[iNFO] No virus was found!

Boot sector 'E:\'

[iNFO] In the drive 'E:\' no data medium is inserted!

Boot sector 'F:\'

[iNFO] In the drive 'F:\' no data medium is inserted!

Boot sector 'G:\'

[iNFO] In the drive 'G:\' no data medium is inserted!

Boot sector 'H:\'

[iNFO] In the drive 'H:\' no data medium is inserted!

 

Starting to scan the registry.

The registry was scanned ( '30' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <ACER>

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP480\A0106306.exe

[DETECTION] Contains detection pattern of the dropper DR/Tool.Reboot.F.105

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP480\A0106306.exe

[0] Archive type: RAR SFX (self extracting)

--> SmitfraudFix\restart.exe

[DETECTION] Contains detection pattern of the SPR/Tool.Hardoff.A program

[NOTE] The file was moved to '48ea2235.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP480\A0106318.exe

[DETECTION] Contains detection pattern of the SPR/Tool.Hardoff.A program

[NOTE] The file was moved to '48ea223a.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0106786.scr

[DETECTION] Contains detection pattern of the joke program JOKE/BlueScreen.B

[NOTE] The file was moved to '48ea2253.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0106801.scr

[DETECTION] Contains detection pattern of the joke program JOKE/BlueScreen.B

[NOTE] The file was moved to '48ea2256.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0107851.exe

[DETECTION] Is the Trojan horse TR/Fraud.AV2008.J

[NOTE] The file was moved to '48ea225b.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0107853.scr

[DETECTION] Contains detection pattern of the joke program JOKE/BlueScreen.B

[NOTE] The file was moved to '48ea225e.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP485\A0107854.exe

[DETECTION] Is the Trojan horse TR/Fakealert.Ace.7

[NOTE] The file was moved to '48ea2261.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP486\A0107864.exe

[DETECTION] Contains detection pattern of the application APPL/BoontyGames

[NOTE] The file was moved to '48ea2267.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP487\A0108101.vbs

[DETECTION] Contains detection pattern of the VBS script virus VBS/Agent.1002

[NOTE] The file was moved to '48ea2271.qua'!

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP487\A0108102.vbs

[DETECTION] Contains detection pattern of the VBS script virus VBS/Agent.1002

[NOTE] The file was moved to '48ea2274.qua'!

C:\unzipped\Bubble shooter Deluxe + Serial\BubbleSD\bshooter.exe

[DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Armadillo). Please verify the origin of the file

[NOTE] The file was moved to '492122c6.qua'!

C:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

C:\_OTMoveIt\MovedFiles\08292008_105541\Documents and Settings\patricia guillemard\Local Settings\Temp\.tt197.tmp

[DETECTION] Is the Trojan horse TR/Drop.Frau.AV08.A

[NOTE] The file was moved to '492d278e.qua'!

Begin scan in 'D:\' <ACERDATA>

Begin scan in 'E:\'

Search path E:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'F:\'

Search path F:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'G:\'

Search path G:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'H:\'

Search path H:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'I:\'

Search path I:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'J:\'

Search path J:\ could not be opened!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: samedi 30 août 2008 12:55

Used time: 1:14:28 min

 

The scan has been done completely.

 

7559 Scanning directories

517760 Files were scanned

13 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

12 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

517747 Files not concerned

9007 Archives were scanned

6 Warnings

12 Notes

Le sioux Full Patch Member

Le sioux

Posté(e)
Posté(e)

Bonsoir Patitou

 

En ce qui concerne Antivir, je suis allée voir le tutorial de paramétrages mais je n'ai pas semble-il la même interface...j'espère que j'emploie le bon vocabulaire (corrige-moi le cas échéant... il n'est jamais trop tard pour apprendre!)

Je n'ai pas les appelés "action on malware" et "heuristic" par exemple...

Cela vient peut-être d'une version différente? Alors j'ai paramétré avec ce qui me semblait être identique sur les deux versions...

* L'interface d'antivir a en effet un peu changé et le tuto est resté plus adapté aux versions précédentes, et tu emploi le bon vocabulaire. :P

Il t'a trouvé plusieurs choses , le principal était situé dans la restauration, que nous purgerons par la suite an créant un point de restauration sain.

Il a détecté cela comme mauvais C:\unzipped\Bubble shooter Deluxe + Serial\BubbleSD\bshooter.exe et un éléments des backup d'OTMoveIt.

 

* On va tout d'abord Vider la quarantaine d Antivir :

 

Clique droit sur Antivir dans la barre des taches (en bas a droite) puis "Start Antivir", clique sur « Administration » puis sur "Quarantine", clique sur une des lignes des détections qui y sont présentes puis CTRL-a afin de sélectionner l'ensemble du contenu de la quarantaine puis clique sur le symbole poubelle, une fenêtre va s'ouvrir "Are you sure you want to delete the selected object(s) from quarantine". Confirme la suppression par Oui.

Ferme Antivir.

 

* On va supprimer toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et ceci grâce à OTMoveIt2 de Old_Timer .

Lance OTMoveIt et clique sur le bouton CLEANUP

(ceci supprime toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et qui sont mis à jour régulièrement, ainsi que OTMoveIt lui même)

 

Puis dans le popup "Cleanup list download successful. Begin cleanup process ?" accepte par Yes.

 

Un redémarrage du PC sera nécessaire.

Pense à vider ta poubelle.

 

De mon coté, les rapports sont "clean", penses tu que l'on peut conclure ? ton PC fonctionne comme il faut ?

 

@ suivre car il reste des conseils de sécurité à appliquer.

Patitou Junior Member

Patitou

Posté(e)
  • Auteur
Posté(e)

Bonsoir Le Sioux

 

De mon côté tout est OK... enfin bien plus qu'avant ton intervention! Mon PC a l'air de se porter comme un charme!

J'aurais quelques questions si tu veux bien car je voudrais "minimiser" (car le risque zéro n'existe pas) le risque d'infection et tes conseils sont clairs et avisés.

 

je te laisse cependant aller au bout de la "sécurisation" de mon PC.

Je suis enchantée de cet échange plein d'intérêt et d'apprentissage en ce qui me concerne.

A tout bientôt.

 

 

Bonsoir Patitou

 

 

* L'interface d'antivir a en effet un peu changé et le tuto est resté plus adapté aux versions précédentes, et tu emploi le bon vocabulaire. :P

Il t'a trouvé plusieurs choses , le principal était situé dans la restauration, que nous purgerons par la suite an créant un point de restauration sain.

Il a détecté cela comme mauvais C:\unzipped\Bubble shooter Deluxe + Serial\BubbleSD\bshooter.exe et un éléments des backup d'OTMoveIt.

 

* On va tout d'abord Vider la quarantaine d Antivir :

 

Clique droit sur Antivir dans la barre des taches (en bas a droite) puis "Start Antivir", clique sur « Administration » puis sur "Quarantine", clique sur une des lignes des détections qui y sont présentes puis CTRL-a afin de sélectionner l'ensemble du contenu de la quarantaine puis clique sur le symbole poubelle, une fenêtre va s'ouvrir "Are you sure you want to delete the selected object(s) from quarantine". Confirme la suppression par Oui.

Ferme Antivir.

 

* On va supprimer toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et ceci grâce à OTMoveIt2 de Old_Timer .

Lance OTMoveIt et clique sur le bouton CLEANUP

(ceci supprime toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et qui sont mis à jour régulièrement, ainsi que OTMoveIt lui même)

 

Puis dans le popup "Cleanup list download successful. Begin cleanup process ?" accepte par Yes.

 

Un redémarrage du PC sera nécessaire.

Pense à vider ta poubelle.

 

De mon coté, les rapports sont "clean", penses tu que l'on peut conclure ? ton PC fonctionne comme il faut ?

 

@ suivre car il reste des conseils de sécurité à appliquer.

Le sioux Full Patch Member

Le sioux

Posté(e)
Posté(e) (modifié)

Re

 

De mon côté tout est OK... enfin bien plus qu'avant ton intervention! Mon PC a l'air de se porter comme un charme!

J'aurais quelques questions si tu veux bien car je voudrais "minimiser" (car le risque zéro n'existe pas) le risque d'infection et tes conseils sont clairs et avisés.

Cool :P pas de problème, tu peux me poser tes questions, je tacherai de te répondre :P

 

je te laisse cependant aller au bout de la "sécurisation" de mon PC.

Je suis enchantée de cet échange plein d'intérêt et d'apprentissage en ce qui me concerne.

A tout bientôt.

 

Moi aussi, cela me fait plaisir, doublement si cela te permet d'apprendre des choses au passage.

 

Mes conseils :

 

=> Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui éliminera les malwares mémorisés dans les anciens Points de contrôle et créera un point de restauration sain":

 

* Désactivation:

Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"

puis clique sur "Appliquer" et patiente jusqu'à ce que cela soit marqué "Désactivé" puis valide en cliquant sur OK.

* Activation :

Suis le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"

puis clique sur "Appliquer" . Attends que cela soit à nouveau sur "Surveillance" puis clique sur OK.

 

=========================================================================

 

Je vais te donner plusieurs conseils par ordre de priorité, pour éviter cela à l'avenir, prends le temps de lire et d’exécuter cela à ton rythme, ne "t’abrutis" pas à tout faire d'un coup, quitte à y revenir par à coups et suivre ainsi petit à petit les différentes instructions

 

=========================================================================

 

=> Comportement à adopter : http://assiste.com.free.fr/p/abc/a/safe_cex.html

 

=> Reste protégé en utilisant un antivirus et un antispyware

Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus et ton anti-spyware après les avoir mis à jour et supprime ce qu'ils peuvent trouver.

 

=========================================================================

 

=> Il te faut impérativement mettre à jour Windows (puis le tenir à jour régulièrement) ainsi qu' Internet Explorer :

 

* Via Internet Explorer, rends-toi sur Microsoft Update

http://windowsupdate.microsoft.com/

afin de télécharger puis d'installer toutes les mise à jour critiques proposées.

Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Tu peux aussi installer le SP3 qui reprend toutes les mises à jour depuis la sortie du SP2

 

* Par la suite, vérifie que les mises à jour de Windows soient bien réglés en automatique, pour cela :

 

Démarrer / Paramètres / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement

puis clique sur Appliquer puis OK.

 

=========================================================================

 

=> Il faut mettre à jour la console Java :

 

Ta version la 6.0.0.1 , la version actuelle 6.0.0.7

 

Rends toi sur http://www.java.com/fr/download/manual.jsp et télécharge la dernière version de la console Java ou ici http://www.filehippo.com/download_java_run...d_java_runtime/

Installe la, puis désinstalle les anciennes versions (la console Java) afin d’éliminer les failles de sécurité présentes dans celles-ci et de libérer, par la même occasion de l'espace disque.

via Démarrer / Paramètres / Panneau de configuration / et dans Ajout/suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis Supprimer, suis les invites de commandes dans la boîte de dialogue qui va s'ouvrir afin de mener la désinstallation à son terme.

Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .

Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

 

=========================================================================

 

=> Afin déviter les autres failles de sécurité des autres programmes présents sur ton PC :

 

* Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas.

http://secunia.com/software_inspector/

-Tuto http://www.malekal.com/scan_vulnerabilite.php

A faire entre autre :

AdobeReader : ta version --> Acrobat 7.0 , la version actuelle 9.0

OpenOffice :ta version la2.1 , la version actuelle 2.4

 

=========================================================================

 

=> Afin de sécuriser ton PC comme il faut :

 

* Installe un vrai Pare-feu celui de Windows fourni avec le SP2 n'étant pas assez efficace :

 

Regarde celui-ci, gratuit, en français :

 

* ComodoFirewallPro

(Attention à décocher les options inutiles pendant l'installation pour ne pas se retrouver avec une Toolbar en plus et un changement de page de démarrage IE )

 

- En version 2.4 en Français: http://www.personalfirewall.comodo.com/

- Tuto http://infomars.fr/forum/index.php?showtopic=389 http://www.nordicnature.net/tutorials/comodo/cf24wiz.htm

 

- En version 3.0 mais en version anglaise uniquement :

Tuto pour la version 3.0 http://infomars.fr/forum/index.php?showtopic=1225

 

Tu peux constater son efficacité en regardant son résultat aux tests Firewall: http://www.matousec.com/

 

* En complément de ton Pare-feu, pour fermer les ports risqués (dangereux, sils restent ouverts) :

 

ZebProtect (application ne nécessitant pas d'installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto http://www.zebulon.fr/articles/zebprotect.php

 

=========================================================================

 

=> Pour sécuriser ta navigation :

 

* Installe et utilise un bon antispyware preventif : SpyBot-Search & Destroy

(scan passif + protection préventive avec ses 2 résidents, ses vaccinations et sa liste Hosts )

http://www.spybot.info/fr/index.html

 

-Démo d'utilisation

http://perso.orange.fr/rginformatique/sect...mo%20spybot.htm

-Tuto :

http://www.malekal.com/tutorial_spybot.php

http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm

 

* Essaye et adopte le navigateur Firefox plus sûr / sécurisé qu'I.E

http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial pour le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628

 

Firefox n'utilise pas le dangereux protocole ActiveX

Ce que sont les activeX : http://assiste.com.free.fr/p/abc/a/activex_dangers.html

S'en protéger : http://assiste.com.free.fr/p/abc/c/anti_activex.html

 

=========================================================================

 

=> Dénonce ton infection pour faire condamner les auteurs.

 

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection.

Tuto http://www.malekal.com/malwarecomplaints.html

 

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"

Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"

Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

La tienne = antivirus XP 2008

 

---> http://www.malwarecomplaints.info/viewforum.php?f=10

 

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

 

Indique aussi le nom du Forum qui t'a aidé --> Zébulon

 

=========================================================================

 

Peux tu stp, éditer ton premier message et mettre [Résolu] devant le titre de celui-ci, merci :P

 

Voila bon courage et bonnes lectures. Si tu as des questions, comme précedemmant dit, vas y :P

 

Salut.

Modifié par Le sioux

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...