Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu] Système infecté

psychopathe

Par psychopathe
dans Analyses et éradication malwares

 Partager

Messages recommandés

psychopathe Power Member

psychopathe

Posté(e)
Posté(e) (modifié)

Bonjour,

Suite à une analyse de mon pc via l'antivitrus Avira Antivir Personal,je soupçonne mon ordinateur d'être infecté.

A toutes les âmes chartitables,veuillez s'il vous plait,m'aider,m'épauler ou me consieller.

 

Analyse Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:33, on 15/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Niko\Mes documents\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {05CA9FB0-3E3E-4b36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123705518796
O16 - DPF: {6e32070a-766d-4ee6-879c-dc1fa91d2fc3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139406804265
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5794 bytes

 

Analyse Avira :

 

Avira AntiVir Personal
Report file date: dimanche 14 décembre 2008  21:51

Scanning for 1085187 virus strains and unwanted programs.

Licensed to:	  Avira AntiVir PersonalEdition Classic
Serial number:	0000149996-ADJIE-0001
Platform:		 Windows XP
Windows version:  (Service Pack 3)  [5.1.2600]
Boot mode:		Normally booted
Username:		 SYSTEM
Computer name:	NIKO-3FD3322BC3

Version information:
BUILD.DAT	 : 8.2.0.337	  16934 Bytes  18/11/2008 13:05:00
AVSCAN.EXE	: 8.1.4.10	  315649 Bytes  14/12/2008 16:23:12
AVSCAN.DLL	: 8.1.4.0		40705 Bytes  26/05/2008 08:56:40
LUKE.DLL	  : 8.1.4.5	   164097 Bytes  12/06/2008 13:44:19
LUKERES.DLL   : 8.1.4.0		12033 Bytes  26/05/2008 08:58:52
ANTIVIR0.VDF  : 7.1.0.0	 15603712 Bytes  27/10/2008 16:23:12
ANTIVIR1.VDF  : 7.1.0.197	1170432 Bytes  07/12/2008 16:23:13
ANTIVIR2.VDF  : 7.1.0.198	   2048 Bytes  07/12/2008 16:23:13
ANTIVIR3.VDF  : 7.1.0.229	 137728 Bytes  12/12/2008 16:23:13
Engineversion : 8.2.0.45  
AEVDF.DLL	 : 8.1.0.6	   102772 Bytes  14/10/2008 11:05:56
AESCRIPT.DLL  : 8.1.1.19	  336252 Bytes  14/12/2008 16:23:13
AESCN.DLL	 : 8.1.1.5	   123251 Bytes  14/12/2008 16:23:13
AERDL.DLL	 : 8.1.1.3	   438645 Bytes  14/12/2008 16:23:13
AEPACK.DLL	: 8.1.3.4	   393591 Bytes  14/12/2008 16:23:13
AEOFFICE.DLL  : 8.1.0.33	  196987 Bytes  14/12/2008 16:23:13
AEHEUR.DLL	: 8.1.0.75	 1524087 Bytes  14/12/2008 16:23:13
AEHELP.DLL	: 8.1.2.0	   119159 Bytes  14/12/2008 16:23:13
AEGEN.DLL	 : 8.1.1.8	   323956 Bytes  14/12/2008 16:23:13
AEEMU.DLL	 : 8.1.0.9	   393588 Bytes  14/10/2008 11:05:56
AECORE.DLL	: 8.1.5.2	   172405 Bytes  14/12/2008 16:23:13
AEBB.DLL	  : 8.1.0.3		53618 Bytes  14/10/2008 11:05:56
AVWINLL.DLL   : 1.0.0.12	   15105 Bytes  09/07/2008 09:40:05
AVPREF.DLL	: 8.0.2.0		38657 Bytes  16/05/2008 10:28:01
AVREP.DLL	 : 8.0.0.2		98344 Bytes  14/12/2008 16:23:13
AVREG.DLL	 : 8.0.0.1		33537 Bytes  09/05/2008 12:26:40
AVARKT.DLL	: 1.0.0.23	  307457 Bytes  12/02/2008 09:29:23
AVEVTLOG.DLL  : 8.0.0.16	  119041 Bytes  12/06/2008 13:27:49
SQLITE3.DLL   : 3.3.17.1	  339968 Bytes  22/01/2008 18:28:02
SMTPLIB.DLL   : 1.2.0.23	   28929 Bytes  12/06/2008 13:49:40
NETNT.DLL	 : 8.0.0.1		 7937 Bytes  25/01/2008 13:05:10
RCIMAGE.DLL   : 8.0.0.51	 2371841 Bytes  12/06/2008 14:48:07
RCTEXT.DLL	: 8.0.52.0	   86273 Bytes  27/06/2008 14:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: C:\Program Files\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: dimanche 14 décembre 2008  21:51

The scan of running processes will be started
Scan process 'avwsc.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wmplayer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'NMSAccessU.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
27 processes with 27 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO]	  No virus was found!
Master boot sector HD1
[INFO]	  No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO]	  No virus was found!
Boot sector 'D:\'
[INFO]	  No virus was found!

Starting to scan the registry.
The registry was scanned ( '49' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING]   The file could not be opened!
C:\pagefile.sys
[WARNING]   The file could not be opened!
Begin scan in 'D:\' <ziks and progz>
D:\pagefile.sys
[WARNING]   The file could not be opened!
D:\etc\Non classé\pictures\fonds d'écran et diverses photos\tuning\SteamInstall_Full.exe
[WARNING]   The file could not be opened!
D:\Program Files\hareaza 1\skin.exe
[WARNING]   The file could not be opened!
D:\System Volume Information\_restore{1C122962-E936-4A02-A1ED-F318FEEF5C9F}\RP470\A0271371.exe
[0] Archive type: NSIS
--> [UnknownDir]/winamp.m3u
  [WARNING]   No further files can be extracted from this archive. The archive will be closed


End of the scan: dimanche 14 décembre 2008  22:46
Used time: 55:11 Minute(s)

The scan has been done completely.

  4117 Scanning directories
165995 Files were scanned
  0 viruses and/or unwanted programs were found
  0 Files were classified as suspicious:
  0 files were deleted
  0 files were repaired
  0 files were moved to quarantine
  0 files were renamed
  5 Files cannot be scanned
165990 Files not concerned
632 Archives were scanned
  6 Warnings
  0 Notes

 

Je signal que j'ai fais 2 analyses Avira,la 1ere avait décelé 4 virus,et la seconde est posté ici :P

 

Merci d'avance.

Modifié par psychopathe

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

# vous devez désactiver la protection en temps réel, de votre antivirus qui détecte certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône en bas à droite à côté de l'horloge.

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Télécharger SDFix (créé par AndyManchesta)

et le sauvegarder sur le Bureau.

Double cliquer sur SDFix.exe et choisir Install pour l'extraire

SDFix s'installe à la racine de la partition système (par défaut, Généralement C:). .

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.cmd pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

Si Sdfix ne se lance pas

1)Démarrer->Exécuter

Copiez/collez :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

 

2)Si vous avez le message Cette commande a été désactivée par votre Administrateur

Appuyez sur une touche pour continuer:

Démarrer->Exécuter

Copiez/Collez

%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg

Validez

Relancez Sdfix

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt

* Postez le rapport ici.

 

Téléchargez Malwarebytes' Anti-Malware (MBAM)

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

psychopathe Power Member

psychopathe

Posté(e)
  • Auteur
Posté(e)

Bonjour pear,merci d'avoir pris le temps de répondre :P

 

Rapport de l'analyse MBAM :

 

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1506
Windows 5.1.2600 Service Pack 3

17/12/2008 06:58:09
mbam-log-2008-12-17 (06-58-09).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 100067
Temps écoulé: 3 hour(s), 52 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\AntiWPA.dll (Malware.Tool) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\antiwpa (Trojan.I.Stole.Windows) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\AntiWPA.dll (Trojan.I.Stole.Windows) -> Delete on reboot.

 

Rapport SDfix :

[b]SDFix: Version 1.240 [/b]
Run by Niko on 16/12/2008 at 18:18

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\setting.ini - Deleted





Removing Temp Files

[b]ADS Check [/b]:



							 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 18:29:28
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 22 Oct 2008	   949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008	 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Mon  7 Jul 2008	 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon  7 Jul 2008	 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008	 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008	   962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
Sun 14 Dec 2008		 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

[b]Finished![/b]

psychopathe Power Member

psychopathe

Posté(e)
  • Auteur
Posté(e)

New rapport d'Avira :

Avira AntiVir Personal
Report file date: jeudi 18 décembre 2008  13:53

Scanning for 1099136 virus strains and unwanted programs.

Licensed to:	  Avira AntiVir PersonalEdition Classic
Serial number:	0000149996-ADJIE-0001
Platform:		 Windows XP
Windows version:  (Service Pack 3)  [5.1.2600]
Boot mode:		Normally booted
Username:		 SYSTEM
Computer name:	NIKO-3FD3322BC3

Version information:
BUILD.DAT	 : 8.2.0.337	  16934 Bytes  18/11/2008 13:05:00
AVSCAN.EXE	: 8.1.4.10	  315649 Bytes  14/12/2008 16:23:12
AVSCAN.DLL	: 8.1.4.0		40705 Bytes  26/05/2008 08:56:40
LUKE.DLL	  : 8.1.4.5	   164097 Bytes  12/06/2008 13:44:19
LUKERES.DLL   : 8.1.4.0		12033 Bytes  26/05/2008 08:58:52
ANTIVIR0.VDF  : 7.1.0.0	 15603712 Bytes  27/10/2008 16:23:12
ANTIVIR1.VDF  : 7.1.0.197	1170432 Bytes  07/12/2008 16:23:13
ANTIVIR2.VDF  : 7.1.0.230	 156160 Bytes  14/12/2008 17:36:24
ANTIVIR3.VDF  : 7.1.0.249	 184320 Bytes  17/12/2008 17:44:39
Engineversion : 8.2.0.45  
AEVDF.DLL	 : 8.1.0.6	   102772 Bytes  14/10/2008 11:05:56
AESCRIPT.DLL  : 8.1.1.19	  336252 Bytes  14/12/2008 16:23:13
AESCN.DLL	 : 8.1.1.5	   123251 Bytes  14/12/2008 16:23:13
AERDL.DLL	 : 8.1.1.3	   438645 Bytes  14/12/2008 16:23:13
AEPACK.DLL	: 8.1.3.4	   393591 Bytes  14/12/2008 16:23:13
AEOFFICE.DLL  : 8.1.0.33	  196987 Bytes  14/12/2008 16:23:13
AEHEUR.DLL	: 8.1.0.75	 1524087 Bytes  14/12/2008 16:23:13
AEHELP.DLL	: 8.1.2.0	   119159 Bytes  14/12/2008 16:23:13
AEGEN.DLL	 : 8.1.1.8	   323956 Bytes  14/12/2008 16:23:13
AEEMU.DLL	 : 8.1.0.9	   393588 Bytes  14/10/2008 11:05:56
AECORE.DLL	: 8.1.5.2	   172405 Bytes  14/12/2008 16:23:13
AEBB.DLL	  : 8.1.0.3		53618 Bytes  14/10/2008 11:05:56
AVWINLL.DLL   : 1.0.0.12	   15105 Bytes  09/07/2008 09:40:05
AVPREF.DLL	: 8.0.2.0		38657 Bytes  16/05/2008 10:28:01
AVREP.DLL	 : 8.0.0.2		98344 Bytes  14/12/2008 16:23:13
AVREG.DLL	 : 8.0.0.1		33537 Bytes  09/05/2008 12:26:40
AVARKT.DLL	: 1.0.0.23	  307457 Bytes  12/02/2008 09:29:23
AVEVTLOG.DLL  : 8.0.0.16	  119041 Bytes  12/06/2008 13:27:49
SQLITE3.DLL   : 3.3.17.1	  339968 Bytes  22/01/2008 18:28:02
SMTPLIB.DLL   : 1.2.0.23	   28929 Bytes  12/06/2008 13:49:40
NETNT.DLL	 : 8.0.0.1		 7937 Bytes  25/01/2008 13:05:10
RCIMAGE.DLL   : 8.0.0.51	 2371841 Bytes  12/06/2008 14:48:07
RCTEXT.DLL	: 8.0.52.0	   86273 Bytes  27/06/2008 14:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: jeudi 18 décembre 2008  13:53

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'Steam.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'PStrip.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'NMSAccessU.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
27 processes with 27 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO]	  No virus was found!
Master boot sector HD1
[INFO]	  No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO]	  No virus was found!
Boot sector 'D:\'
[INFO]	  No virus was found!

Starting to scan the registry.
The registry was scanned ( '49' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING]   The file could not be opened!
C:\pagefile.sys
[WARNING]   The file could not be opened!
C:\Documents and Settings\Niko\Local Settings\Temporary Internet Files\Content.IE5\LP9L2HTE\swflash[1].cab
[0] Archive type: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
  [WARNING]   No further files can be extracted from this archive. The archive will be closed
Begin scan in 'D:\' <ziks and progz>
D:\pagefile.sys
[WARNING]   The file could not be opened!
D:\etc\Non classé\pictures\fonds d'écran et diverses photos\tuning\SteamInstall_Full.exe
[WARNING]   The file could not be opened!
D:\Program Files\hareaza 1\skin.exe
[WARNING]   The file could not be opened!
D:\System Volume Information\_restore{1C122962-E936-4A02-A1ED-F318FEEF5C9F}\RP470\A0271371.exe
[0] Archive type: NSIS
--> [UnknownDir]/winamp.m3u
  [WARNING]   No further files can be extracted from this archive. The archive will be closed


End of the scan: jeudi 18 décembre 2008  14:50
Used time: 57:11 Minute(s)

The scan has been done completely.

  4544 Scanning directories
172172 Files were scanned
  0 viruses and/or unwanted programs were found
  0 Files were classified as suspicious:
  0 files were deleted
  0 files were repaired
  0 files were moved to quarantine
  0 files were renamed
  5 Files cannot be scanned
172167 Files not concerned
711 Archives were scanned
  7 Warnings
  0 Notes

 

7 warnings :P

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)
7 warning

 

Ce n'est pa anormal pour Hiberfiles.sys( mise en veille prolongée copie votre situation dans la mémoire)

Pagesfiles.sys=mémoire virtuelle

 

D:\etc\Non classé\pictures\fonds d'écran et diverses photos\tuning\SteamInstall_Full.exe

[WARNING] The file could not be opened!

D:\Program Files\hareaza 1\skin.exe

[WARNING] The file could not be opened!

C'est plus surprenant, sauf si vous en avez interdit l'accés.

 

Pour le reste:nettoyez les fichiers temporaires

Désinstallez la Restauration Système.

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez ensuite.

Un nouveau point de restauration sera créé au redémarrage.

Modifié par pear
psychopathe Power Member

psychopathe

Posté(e)
  • Auteur
Posté(e)

Je ne peux suprimer SteamInstall_Full.exe car j'ai un message d'erreur comme quoi le fichier est déterioré ou illisible,message d'erreur également pour suprimer skin.exe "Impossible de suprimé skin:Erreur de données (contrôle de redondance cyclique).

pear Devil Member !

pear

Posté(e)
Posté(e)
Je ne peux suprimer SteamInstall_Full.exe car j'ai un message d'erreur comme quoi le fichier est déterioré ou illisible,message d'erreur également pour suprimer skin.exe "Impossible de suprimé skin:Erreur de données (contrôle de redondance cyclique).

 

D'où sortez vous cela ?

 

Sauf erreur, on n'en a pas parlé .

psychopathe Power Member

psychopathe

Posté(e)
  • Auteur
Posté(e) (modifié)
D:\etc\Non classé\pictures\fonds d'écran et diverses photos\tuning\SteamInstall_Full.exe

[WARNING] The file could not be opened!

D:\Program Files\hareaza 1\skin.exe

[WARNING] The file could not be opened!

 

Fichier warning,sa me plait pas trop donc je voudrais les suprimer voila tout.

Je ne peux les ouvrir donc ils deviennent inutile à mes yeux.

Modifié par psychopathe
pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

D:\Program Files\hareaza 1\skin.exe

D:\etc\Non classé\pictures\fonds d'écran et diverses photos\tuning\SteamInstall_Full.exe

 

Comme vous le voyez,ce sont deux fichiers .exe de customisation.

Vous voulez les supprimer ?

Il n'y a aucun inconvénient et cela devrait se faire sans problème.

 

Télécharger sur le bureauOTMoveIt3 by OldTimer .

Double-clic sur OTMoveIt3.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Vérifier que Unregister Dll's and Ocx's soit coché.

* Copiez /Collez les lignes ci dessous):

 

:Processes

explorer.exe

skin.exe

SteamInstall_Full.exe

 

:Files

D:\Program Files\hareaza 1\skin.exe

D:\etc\Non classé\pictures\fonds d'écran et diverses photos\tuning\SteamInstall_Full.exe

 

:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

Revenez dans OTMoveIt3,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTMoveIt3

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTMoveIt\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

 

Modifié par pear

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...