[Résolu] Rootkit ???

[lembron]

Bonjour,

Avast m'envoie ce message à l'ouverture de ma session.

 

"Un fichier suspect a été trouve (par la méthode heuristique)"

 

Ce fichier c'est C:\WINDOWS\SYSTEM32\process.exe j'ai le choix entre supprimer et ignorer.

Quand j'analyse ce fichier avec avast aucun problème n'est trouvé.

 

J'ai ce problème depuis hier, Avast propose d'envoyer ce fichier à leur support technique pour analyse, mais le lien ne fonctionne pas.

 

Je peux laisser ce fichier sur mon ordinateur sans risque ?

 

Merci

Modifié le 3 janvier 2009 par lembron

[Apollo]

Bonjour,

 

Si tu as des outils de désinfection comme Navilog1, SmitfraudFix etc. Désinstalle-les.

 

Fais analyser le fichier en question sur Virus total:

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\WINDOWS\SYSTEM32\process.exe
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Nous déconseillons fortement de garder ces utilitaires de désinfection pour deux raisons;

 

1. Parce qu'ils sont détectés à tort comme malwares par les antivirus (process par exemple).

2) Ces outils évoluent sans cesse selon l'actualité et l'activité des malwares.

 

Utilise ceci pour être sûr de bien tout virer:

Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

http://pc-system.fr/TC/ToolsCleaner2.exe

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant qu' Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.

Fermez le programme en cliquant sur "Quitter ".

 

Postez le rapport qui se trouve ici >>> C:\TCleaner.txt

 

Enfin je te conseille de changer d'antivirus, Avast est une vraie passoire alors qu'il hurle sur des outils tout à fait légitimes (le comble!).

 

 

Si tu es d'accord pour changer d'antivirus.

 

Tutos:

 

http://www.vista-xp.fr/forum/topic227.html

 

http://www.libellules.ch/tuto_antivir.php

 

Procédure:

 

Télécharger l'exécutable d'Antivir.

 

Antivir version française

 

Page de téléchargements Avira

 

Déconnecter physiquement le pc du net, c'est à dire en retirant le câble de la tour.

 

Désinstaller Avast par Ajouter/Supprimer des programmes.

 

En cas de problème de désinstallation: http://www.avast.com/fre/avast-uninstall-utility.html

 

Installer Antivir et le configurer comme expliqué dans le tutoriel. (Ne pas oublier de cocher la case de recherche de Rootkits -> très important).

Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et choisis Configure Antivir

Dans la fenêtre, coche la case Expert Mode

Juste en dessous, clique sur le menu Scanner

Sur le panneau de droite, coche la case Search for Rootkits before scan

 

 

 

Rebrancher le pc au net; effectuer la mise à jour des bases antivirales d'Antivir.

 

Lancer une analyse complète de l'ordinateur.

 

Poster le rapport ici svp.

 

 

@++

[Clafouti]

Simple question : pourquoi faut-il déconnecter physiquement le pc du net ? Un firewall n'est-il pas suffisant ?

Et d'abord, pourquoi faut-il empêcher les connexions sortantes ?

[lembron]

Bonjour,

 

Si tu as des outils de désinfection comme Navilog1, SmitfraudFix etc. Désinstalle-les.

 

Fais analyser le fichier en question sur Virus total:

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\WINDOWS\SYSTEM32\process.exe
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Nous déconseillons fortement de garder ces utilitaires de désinfection pour deux raisons;

 

1. Parce qu'ils sont détectés à tort comme malwares par les antivirus (process par exemple).

2) Ces outils évoluent sans cesse selon l'actualité et l'activité des malwares.

 

Utilise ceci pour être sûr de bien tout virer:

Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

http://pc-system.fr/TC/ToolsCleaner2.exe

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant qu' Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.

Fermez le programme en cliquant sur "Quitter ".

 

Postez le rapport qui se trouve ici >>> C:\TCleaner.txt

 

Enfin je te conseille de changer d'antivirus, Avast est une vraie passoire alors qu'il hurle sur des outils tout à fait légitimes (le comble!).

 

 

Si tu es d'accord pour changer d'antivirus.

 

Tutos:

 

http://www.vista-xp.fr/forum/topic227.html

 

http://www.libellules.ch/tuto_antivir.php

 

Procédure:

 

Télécharger l'exécutable d'Antivir.

 

Antivir version française

 

Page de téléchargements Avira

 

Déconnecter physiquement le pc du net, c'est à dire en retirant le câble de la tour.

 

Désinstaller Avast par Ajouter/Supprimer des programmes.

 

En cas de problème de désinstallation: http://www.avast.com/fre/avast-uninstall-utility.html

 

Installer Antivir et le configurer comme expliqué dans le tutoriel. (Ne pas oublier de cocher la case de recherche de Rootkits -> très important).

Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et choisis Configure Antivir

Dans la fenêtre, coche la case Expert Mode

Juste en dessous, clique sur le menu Scanner

Sur le panneau de droite, coche la case Search for Rootkits before scan

 

 

 

Rebrancher le pc au net; effectuer la mise à jour des bases antivirales d'Antivir.

 

Lancer une analyse complète de l'ordinateur.

 

Poster le rapport ici svp.

 

 

@++

[lembron]

Bonjour Appolo Il faut que j'apprenne à utiliser ce forum pour ne pas utiliser trop de place!!!

Merci pour tes excellents conseils, je ne suis pas très calé en informatique et je vais tenter de réaliser tout ce que tu m'as dit sans faire de faute...?

en attendant voici le rapport de Virus Total:

Fichier Pocess.exe reçu le 2008.12.15 05:41:01 (CET)Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.12.12.2 2008.12.15 -

AntiVir 7.9.0.45 2008.12.14 -

Authentium 5.1.0.4 2008.12.14 -

Avast 4.8.1281.0 2008.12.14 -

AVG 8.0.0.199 2008.12.14 -

BitDefender 7.2 2008.12.15 -

CAT-QuickHeal 10.00 2008.12.15 -

ClamAV 0.94.1 2008.12.15 Trojan.Killproc-1

Comodo 754 2008.12.14 -

DrWeb 4.44.0.09170 2008.12.14 Tool.Prockill

eSafe 7.0.17.0 2008.12.14 -

eTrust-Vet 31.6.6258 2008.12.12 -

Ewido 4.0 2008.12.14 -

F-Prot 4.4.4.56 2008.12.14 -

F-Secure 8.0.14332.0 2008.12.15 -

Fortinet 3.117.0.0 2008.12.14 Misc/PrcViewer

GData 19 2008.12.15 -

Ikarus T3.1.1.45.0 2008.12.15 -

K7AntiVirus 7.10.553 2008.12.13 -

Kaspersky 7.0.0.125 2008.12.15 -

McAfee 5464 2008.12.14 potentially unwanted program PrcViewer

McAfee+Artemis 5464 2008.12.14 potentially unwanted program PrcViewer

Microsoft 1.4205 2008.12.14 -

NOD32 3691 2008.12.14 Win32/PrcView

Norman 5.80.02 2008.12.12 -

Panda 9.0.0.4 2008.12.14 -

PCTools 4.4.2.0 2008.12.14 -

Prevx1 V2 2008.12.15 -

Rising 21.07.62.00 2008.12.14 -

SecureWeb-Gateway 6.7.6 2008.12.14 -

Sophos 4.36.0 2008.12.15 -

Sunbelt 3.2.1801.2 2008.12.11 -

Symantec 10 2008.12.15 -

TheHacker 6.3.1.4.188 2008.12.14 Aplicacion/Processor.20

TrendMicro 8.700.0.1004 2008.12.15 -

VBA32 3.12.8.10 2008.12.14 -

ViRobot 2008.12.15.1517 2008.12.15 -

VirusBuster 4.5.11.0 2008.12.14 -

 

Information additionnelle

File size: 53248 bytes

MD5...: 7397f6ee4a9601a123b645c0cd428017

SHA1..: 890368473ecbc404dcd42ff0c6c38397102f59c0

SHA256: 5aaf73ef89f0efab963abb170bc9b7cd7d4d5bd7a691cd83137b4cc39cd120de

SHA512: 8c9f85b64d8c1c43a11e654609d357fffdada311422cc02e5efbf1243b4d35fc<BR>20f4a58b1a663f85717d8a626c3db8f59af62d7044ed02974cd3d2b107f08784<BR>

ssdeep: 768:ORWMA68kDGXcK1JP9COApZsLUFDeLHAwu0aB0wWYS/a/x9GYDM0+0O:OkMKH<BR>9fApDFPgiKMM0I<BR>

PEiD..: -

TrID..: File type identification<BR>Win64 Executable Generic (59.6%)<BR>Win32 Executable MS Visual C++ (generic) (26.2%)<BR>Win32 Executable Generic (5.9%)<BR>Win32 Dynamic Link Library (generic) (5.2%)<BR>Generic Win/DOS Executable (1.3%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x402b42<BR>timedatestamp.....: 0x3edf2cf1 (Thu Jun 05 11:43:45 2003)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x7bea 0x8000 6.52 c01fadec01aae81015745dad0ecda107<BR>.rdata 0x9000 0x1dfc 0x2000 5.10 e5217bccc8786d801b7a78bb7cce029c<BR>.data 0xb000 0x1fc8 0x1000 2.67 5ba738a705a45c4209cbffe7469d458a<BR>.rsrc 0xd000 0x3c0 0x1000 0.99 0967ff97890b79a40016a44e82666655<BR><BR>( 3 imports ) <BR>> KERNEL32.dll: GetLastError, GetProcessAffinityMask, OpenProcess, Sleep, TerminateProcess, WaitForSingleObject, SetPriorityClass, lstrcmpiA, HeapFree, ResumeThread, SuspendThread, GetVersionExA, WideCharToMultiByte, HeapAlloc, CloseHandle, GlobalFree, GlobalAlloc, FileTimeToSystemTime, SystemTimeToFileTime, GetSystemTime, LocalFree, FormatMessageA, HeapSize, RtlUnwind, LCMapStringW, LCMapStringA, VirtualQuery, GetSystemInfo, SetProcessAffinityMask, LoadLibraryA, GetProcAddress, FreeLibrary, GetProcessHeap, GetCurrentProcess, ExitProcess, GetModuleHandleA, GetCommandLineA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, GetACP, GetOEMCP, GetCPInfo, FlushFileBuffers, SetFilePointer, GetLocaleInfoA, VirtualProtect, SetStdHandle<BR>> USER32.dll: CloseDesktop, EnumDesktopWindows, GetWindowThreadProcessId, PostMessageA, OpenDesktopA<BR>> ADVAPI32.dll: LookupAccountSidA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, GetTokenInformation<BR><BR>( 0 exports ) <BR>

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=7397f6ee4a9601a123b645c0cd428017''>http://www.threatexpert.com/report.aspx?md5=7397f6ee4a9601a123b645c0cd428017' target='_blank'>http://www.threatexpert.com/report.aspx?md5=7397f6ee4a9601a123b645c0cd428017</a>'>http://www.threatexpert.com/report.aspx?md5=7397f6ee4a9601a123b645c0cd428017</a>

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.12.12.2 2008.12.15 -

AntiVir 7.9.0.45 2008.12.14 -

Authentium 5.1.0.4 2008.12.14 -

Avast 4.8.1281.0 2008.12.14 -

AVG 8.0.0.199 2008.12.14 -

BitDefender 7.2 2008.12.15 -

CAT-QuickHeal 10.00 2008.12.15 -

ClamAV 0.94.1 2008.12.15 Trojan.Killproc-1

Comodo 754 2008.12.14 -

DrWeb 4.44.0.09170 2008.12.14 Tool.Prockill

eSafe 7.0.17.0 2008.12.14 -

eTrust-Vet 31.6.6258 2008.12.12 -

Ewido 4.0 2008.12.14 -

F-Prot 4.4.4.56 2008.12.14 -

F-Secure 8.0.14332.0 2008.12.15 -

Fortinet 3.117.0.0 2008.12.14 Misc/PrcViewer

GData 19 2008.12.15 -

Ikarus T3.1.1.45.0 2008.12.15 -

K7AntiVirus 7.10.553 2008.12.13 -

Kaspersky 7.0.0.125 2008.12.15 -

McAfee 5464 2008.12.14 potentially unwanted program PrcViewer

McAfee+Artemis 5464 2008.12.14 potentially unwanted program PrcViewer

Microsoft 1.4205 2008.12.14 -

NOD32 3691 2008.12.14 Win32/PrcView

Norman 5.80.02 2008.12.12 -

Panda 9.0.0.4 2008.12.14 -

PCTools 4.4.2.0 2008.12.14 -

Prevx1 V2 2008.12.15 -

Rising 21.07.62.00 2008.12.14 -

SecureWeb-Gateway 6.7.6 2008.12.14 -

Sophos 4.36.0 2008.12.15 -

Sunbelt 3.2.1801.2 2008.12.11 -

Symantec 10 2008.12.15 -

TheHacker 6.3.1.4.188 2008.12.14 Aplicacion/Processor.20

TrendMicro 8.700.0.1004 2008.12.15 -

VBA32 3.12.8.10 2008.12.14 -

ViRobot 2008.12.15.1517 2008.12.15 -

VirusBuster 4.5.11.0 2008.12.14 -

 

Information additionnelle

File size: 53248 bytes

MD5...: 7397f6ee4a9601a123b645c0cd428017

SHA1..: 890368473ecbc404dcd42ff0c6c38397102f59c0

SHA256: 5aaf73ef89f0efab963abb170bc9b7cd7d4d5bd7a691cd83137b4cc39cd120de

SHA512: 8c9f85b64d8c1c43a11e654609d357fffdada311422cc02e5efbf1243b4d35fc<BR>20f4a58b1a663f85717d8a626c3db8f59af62d7044ed02974cd3d2b107f08784<BR>

ssdeep: 768:ORWMA68kDGXcK1JP9COApZsLUFDeLHAwu0aB0wWYS/a/x9GYDM0+0O:OkMKH<BR>9fApDFPgiKMM0I<BR>

PEiD..: -

TrID..: File type identification<BR>Win64 Executable Generic (59.6%)<BR>Win32 Executable MS Visual C++ (generic) (26.2%)<BR>Win32 Executable Generic (5.9%)<BR>Win32 Dynamic Link Library (generic) (5.2%)<BR>Generic Win/DOS Executable (1.3%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x402b42<BR>timedatestamp.....: 0x3edf2cf1 (Thu Jun 05 11:43:45 2003)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x7bea 0x8000 6.52 c01fadec01aae81015745dad0ecda107<BR>.rdata 0x9000 0x1dfc 0x2000 5.10 e5217bccc8786d801b7a78bb7cce029c<BR>.data 0xb000 0x1fc8 0x1000 2.67 5ba738a705a45c4209cbffe7469d458a<BR>.rsrc 0xd000 0x3c0 0x1000 0.99 0967ff97890b79a40016a44e82666655<BR><BR>( 3 imports ) <BR>> KERNEL32.dll: GetLastError, GetProcessAffinityMask, OpenProcess, Sleep, TerminateProcess, WaitForSingleObject, SetPriorityClass, lstrcmpiA, HeapFree, ResumeThread, SuspendThread, GetVersionExA, WideCharToMultiByte, HeapAlloc, CloseHandle, GlobalFree, GlobalAlloc, FileTimeToSystemTime, SystemTimeToFileTime, GetSystemTime, LocalFree, FormatMessageA, HeapSize, RtlUnwind, LCMapStringW, LCMapStringA, VirtualQuery, GetSystemInfo, SetProcessAffinityMask, LoadLibraryA, GetProcAddress, FreeLibrary, GetProcessHeap, GetCurrentProcess, ExitProcess, GetModuleHandleA, GetCommandLineA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, GetACP, GetOEMCP, GetCPInfo, FlushFileBuffers, SetFilePointer, GetLocaleInfoA, VirtualProtect, SetStdHandle<BR>> USER32.dll: CloseDesktop, EnumDesktopWindows, GetWindowThreadProcessId, PostMessageA, OpenDesktopA<BR>> ADVAPI32.dll: LookupAccountSidA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, GetTokenInformation<BR><BR>( 0 exports ) <BR>

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=7397f6ee4a9601a123b645c0cd428017' target='_blank'>http://www.threatexpert.com/report.aspx?md5=7397f6ee4a9601a123b645c0cd428017</a>

[Apollo]

Bonjour,

 

Procède à l'analyse complète avec Antivir et poste le rapport stp.

[lembron]

Bonjour Apollo. J'ai fait le travail avec Tcleaner et voici le rapport.

Je suis Ok pour utiliser Antivir , mais je suis avec XP et je vais les tutos si ça marche. A+

[ Rapport ToolsCleaner version 2.2.7 (par A.Rothstein & dj QUIOU) ]

 

-->- Recherche:

 

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus 19 janvier 2007\Combofix.txt: trouvé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus dimanche 21\hijackthis.log: trouvé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 17 janvier 2007\SmitFraudFix.exe: trouvé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 17 janvier 2007\SmitFraudfix: trouvé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 18 janvier 2007\vundoFix.exe: trouvé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 18 janvier 2007\hijackthis.log: trouvé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 18 janvier 2007\VundoFix.txt\VundoFix.txt: trouvé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 19 janvier 2007\KillBox.exe: trouvé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 19 janvier 2007\!Killbox: trouvé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti Virus du 20 janvier\Combofix.txt: trouvé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti Virus du lundi 22 janvier Nouveau dossier\hijackthis.log: trouvé !

 

---------------------------------

-->- Suppression:

 

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 17 janvier 2007\SmitFraudFix.exe: supprimé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 18 janvier 2007\vundoFix.exe: supprimé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 19 janvier 2007\KillBox.exe: supprimé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus 19 janvier 2007\Combofix.txt: supprimé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus dimanche 21\hijackthis.log: supprimé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 18 janvier 2007\hijackthis.log: supprimé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 18 janvier 2007\VundoFix.txt\VundoFix.txt: supprimé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti Virus du 20 janvier\Combofix.txt: supprimé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti Virus du lundi 22 janvier Nouveau dossier\hijackthis.log: supprimé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 17 janvier 2007\SmitFraudfix: supprimé !

C:\Documents and Settings\Gérard\Mes documents\Archives anti virus\Anti virus du 19 janvier 2007\!Killbox: supprimé !

[Apollo]

Bonjour,

 

Que faisaient ces outils sur le pc?

Non seulement ils sont vieux de quasi deux ans, et sont donc largement dépassés depuis, vu les mises à jour très nombreuses qu'apportent les concepteurs de ces outils.

 

De plus, ils sont souvent détectés (à tort) par les antivirus, comme des malwares.

 

Quand tu as utilisé ce genre d'outils, il faut t'en défaire car ils ne servent finalement plus à rien; au contraire, tu gardais des quarantaines contenant sans doute des saletés.

Sois très prudent avec ComboFix, ce n'est pas un jouet...il peut faire des dégâts si on n'est pas suivi par un conseiller le connaissant bien.

 

@++

[lembron]

Bonjour il y a 2ans un de tes compagnons m'a aidé à éradiquer un virus; j'ai conservé la procédure ,sans l'utiliser, pour comprendre sa méthode. Voilà maintenant tout est passé à la corbeille.

J'ai viré Avast et installé antivir. Durant le processus antivir demande une connection internet sinon l'installation n'aboutit pas. Je ne suis pas parvenu à utiliser simultanément le scan antivirus et celui de recherche de rootkit. Je t'envoie dons deux rapports.

 

Rapport antivirus:

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : mercredi 17 décembre 2008 05:05

 

La recherche porte sur 1094481 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : Gérard

Nom de l'ordinateur :FENIER

 

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 06:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 11:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 10:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 05:30:27

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 09:30:36

ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07/12/2008 01:54:44

ANTIVIR2.VDF : 7.1.0.230 156160 Bytes 14/12/2008 01:54:44

ANTIVIR3.VDF : 7.1.0.243 114176 Bytes 16/12/2008 01:54:44

Version du moteur: 8.2.0.45

AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 08:05:56

AESCRIPT.DLL : 8.1.1.19 336252 Bytes 17/12/2008 01:55:44

AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 13:06:41

AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 11:58:38

AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 07:41:39

AEOFFICE.DLL : 8.1.0.33 196987 Bytes 17/12/2008 01:54:44

AEHEUR.DLL : 8.1.0.75 1524087 Bytes 17/12/2008 01:54:44

AEHELP.DLL : 8.1.2.0 119159 Bytes 17/12/2008 01:54:44

AEGEN.DLL : 8.1.1.8 323956 Bytes 17/12/2008 01:54:44

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 08:05:56

AECORE.DLL : 8.1.5.2 172405 Bytes 17/12/2008 01:54:44

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 08:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 06:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 07:27:58

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 10:02:15

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 09:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 06:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 10:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 15:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 10:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 10:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 05:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 08:08:43

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: interactif

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: arrêt

Fichier mode de recherche........: Sélection de fichiers intelligente

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

 

Début de la recherche : mercredi 17 décembre 2008 05:05

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TPSBattM.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Communications_Helper.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SmoothView.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SMax4PNP.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TFncKy.exe' - '1' module(s) sont contrôlés

Processus de recherche 'tfswctrl.exe' - '1' module(s) sont contrôlés

Processus de recherche 'PadExe.exe' - '1' module(s) sont contrôlés

Processus de recherche 'THotkey.exe' - '1' module(s) sont contrôlés

Processus de recherche 'agrsmmsg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TvsTray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SynTPLpr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CALMAIN.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TAPPSRV.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SMAgent.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CFSvcs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'42' processus ont été contrôlés avec '42' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '65' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

 

 

Fin de la recherche : mercredi 17 décembre 2008 05:40

Temps nécessaire: 35:31 Minute(s)

 

La recherche a été effectuée intégralement

 

6684 Les répertoires ont été contrôlés

216545 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

216543 Fichiers non infectés

7477 Les archives ont été contrôlées

2 Avertissements

0 Consignes

[lembron]

Hello Apollo Impossible de poster le rapport de recherche de Rootkit, il est trop volumineux et I.E se met en panne.

J'ai donc sélectionner arbitrairement ce qui me parait important et je colle ça ci-dessous.

Il est peut être possible de faire plus court mais j'ignore comment.

 

Résumé:

Avira AntiVir Personal

Date de création du fichier de rapport : mercredi 17 décembre 2008 06:02

 

La recherche porte sur 1094481 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : Gérard

Nom de l'ordinateur :FENIER

 

La recherche d'objets cachés commence.

'416897' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

C:\System Volume Information\

 

[AVERTISSEMENT] Erreur système [5]: Accès refusé.

 

DivX.dll

[0] Type d'archive: Runtime Packed

--> Object

dprsx.dll

[0] Type d'archive: Runtime Packed

--> Object

muweb.dll

[0] Type d'archive: RSRC

--> Object

[1] Type d'archive: CAB (Microsoft)

--> authorization.xml

netsetup.exe

[0] Type d'archive: RSRC

--> Object

[1] Type d'archive: CAB (Microsoft)

--> hnetwiz.dll

--> icsdclt.dll

--> ncxp16.dll

--> ncxp32.dll

--> ncxpnt.dll

--> WinXPChk.exe

--> HasUPnP.inf

--> NoUPnP.inf

--> ssdpapi.dll

--> upnp.dll

--> SSDPSRV.EXE

SrchSTS.exe

[0] Type d'archive: Runtime Packed

--> Object

swreg.exe

[0] Type d'archive: Runtime Packed

--> Object

swsc.exe

[0] Type d'archive: Runtime Packed

--> Object

swxcacls.exe

[0] Type d'archive: Runtime Packed

--> Object

C:\WINDOWS\system32\config\

Antiviru.evt

Antivirus.Evt

AppEvent.Evt

default

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

default.LOG

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

default.sav

Internet.evt

SAM

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

SAM.LOG

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

SecEvent.Evt

SECURITY

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

SECURITY.LOG

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

software

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

software.LOG

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

software.sav

SysEvent.Evt

system

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

system.LOG

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

system.sav

Fin de la recherche : mercredi 17 décembre 2008 06:48

Temps nécessaire: 46:15 Minute(s)

 

La recherche a été effectuée intégralement

 

6684 Les répertoires ont été contrôlés

216447 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

24 Impossible de contrôler des fichiers

216423 Fichiers non infectés

7477 Les archives ont été contrôlées

297 Avertissements

0 Consignes

416897 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

J'espère que cela vous aidera Merci