[Résolu] Infection PC généralisée par sality.y

[Thanos]

salut

 

Oui: fais un scan Kaspersky en ligne sur le second pc pour voir si sality n'est pas présent. Poste le rapport ensuite.

Par contre je te demanderais d'ouvrir un second topic pour l'occasion

 

J'ai essayé de repérer moi-même les différents fichiers d'Antivir qui restent sur la machine afin de les éliminer mais je préfère ne rien tenter avant ton avis...

Je vais préparer dès maintenant un script pour virer le reste: ca va me prendre du temps car il faut tout répertorier!

Je te poste ce dès que j'ai terminé

[Thanos]

re!

 

On va tenter un nettoyage >>

 

• Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :reg
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AntiVirService]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AntiVirService]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AntiVirService]
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AntiVirScheduler]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AntiVirScheduler]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AntiVirScheduler]
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avgio]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avgio]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\avgio]
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avgntflt]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avgntflt]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\avgntflt]
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssmdrv]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ssmdrv]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ssmdrv]
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVGIO]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVGIO]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AVGIO]
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANTIVIRSERVICE]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ANTIVIRSERVICE]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ANTIVIRSERVICE]
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANTIVIRSCHEDULER]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ANTIVIRSCHEDULER]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ANTIVIRSCHEDULER]
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSMDRV]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSMDRV]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSMDRV]
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVGNTFLT]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVGNTFLT]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AVGNTFLT]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Avira]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\AntiVir PersonalEdition Classic]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A}]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiVir PersonalEdition Classic]
  [-HKEY_CURRENT_USER\Software\Avira]
  
  :files
  C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
  C:\WINDOWS\system32\DRIVERS\avipbb.sys
  C:\Program Files\AntiVir PersonalEdition Classic

  
  

• Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste Instructions for Items to be Moved" (sous la barre jaune) puis choisir Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt3
  
• Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

 

Après ca, redémarre la machine, puis retente d'installer Antivir et dis moi si c'est bon

[croquis]

Salut

 

Malheureusement, même impossibilité d'installer Antivir et même fenêtre que celle qui figure ci-dessus (dans le message #18). Je n'y comprends rien....

 

Bon, je vais m'occuper de mon deuxième ordi et le laisser scanner en ligne pendant la nuit. Je créerai un nouveau topic demain avec le résultat de Kaspersky.

 

Bonne nuit à toi et merci encore

 

Croquis

[Thanos]

ok pour le scan !

Est ce que tu peux me poster le rapport d'OTMoveIT stp

 

En attendant, très important, on va aussi installer un vrai parefeu pour protéger ton pc car celui intégré à Windows est une passoire! >>

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen : http://benoit.aun.free.fr/securite-facile-php/jetico.php

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Lance l'installation de ton pare-feu et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

 

croquis: un conseil, ne connecte pas le pc sur le net tant que l'antivirus et le parefeu ne sont pas installés car il y a de gros risques!

[croquis]

Re-Salut Thanos

 

C'est à n'y rien comprendre... Comme je te l'ai dit tout à l'heure, le message était plutôt de mauvais signe et pourtant juste après en désespoir de cause, j'ai activé CCleaner et le Reg cleaner de Antivir. Ce dernier à d'ailleur planté à la fin de son travail. Peu convaincu, j'ai tout de même retenté l'install d'Antivir et là.... miracle! C'est passé comme une lettre à la poste!!! Comme je te disais je n'y comprends rien mais j'accepte la bonne nouvelle avec soulagement! J'ai configuré l'AV selon le tuto de Tesgaz et pour l'instant, il scanne tranquillement en Safe Mode. Je le laisse donc faire et te posterai demain le log de MovIt et je te tiendrai informé du résultat d'Antivir.

 

En ce qui concerne le pare-feu, je pense que je me tournerai vers Kerio car c'est celui que j'utilisais avant d'avoir eu le problème et il est plus léger que ZoneAlarm.

 

Bonne nuit et merci encore!

 

Croquis

[Thanos]

ok super

Poste aussi un rapport RSIT une fois que tu as installé Kério pour voir si tout fonctionne comme il faut

[croquis]

Bonsoir Thanos

 

Voici, dans l'ordre, le log de MovIt et celui d'Antivir.

 

A propos de ce dernier, Antivir a detecte 2 fichiers infectes, c'etait ceux qui se trouvaient dans MovIt justement... Je les ai places en quarantaine. Que faut-il en faire?

 

J'ai par ailleurs installe Kerio (j'ai un crack, mais je suppose que tu me conseilleras de ne pas m'en servir ). Un redemarrage a ete effectue mais a l'ouverture de la session Windows... rien, pas de fenetre Kerio ni d'icone en bas a droite et lorsque j'ouvre le programme un pop-up Kerio me demande un nom d'hote et un mot-de-passe Que dois-je faire? Sur le tuto de Malekal, on n'en parle pas...

 

Dois-je par ailleurs reinstaller CCleaner (qui ne fonctionne plus completement) et Spybot (que j'avais efface)?

 

Une derniere chose. Assez curieusement, le rapport d'Antivir mentionne (a la 2eme ligne) la date du jour ... en calendrier musulman.... J'imagine que ce n'est guere important mais c'est bizarre, d'autant que le programme en lui meme affiche le calendrier habituel.

 

Je n'ai pas lance RSIT puisque je n'ai pas fini de configurer Kerio.

 

J'ai cree un nouveau post avec le resultat du scan en ligne de mon second ordi. Comme tu le verras, il est propre mais une des deux cles USB est infectee par Sality.aa.

 

Merci a toi! Croquis

 

 

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AntiVirService\\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AntiVirService\\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AntiVirService\\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AntiVirScheduler\\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AntiVirScheduler\\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AntiVirScheduler\\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avgio\\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avgio\\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\avgio\\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avgntflt\\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avgntflt\\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\avgntflt\\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssmdrv\\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ssmdrv\\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ssmdrv\\ not found.

Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVGIO\\ .

Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVGIO\\ .

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AVGIO\\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANTIVIRSERVICE\\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ANTIVIRSERVICE\\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ANTIVIRSERVICE\\ not found.

Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANTIVIRSCHEDULER\\ .

Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ANTIVIRSCHEDULER\\ .

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ANTIVIRSCHEDULER\\ not found.

Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSMDRV\\ .

Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSMDRV\\ .

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSMDRV\\ not found.

Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVGNTFLT\\ .

Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVGNTFLT\\ .

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AVGNTFLT\\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Avira\\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\AntiVir PersonalEdition Classic\\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A}\\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiVir PersonalEdition Classic\\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Avira\\ not found.

========== FILES ==========

C:\WINDOWS\system32\DRIVERS\ssmdrv.sys moved successfully.

C:\WINDOWS\system32\DRIVERS\avipbb.sys moved successfully.

C:\Program Files\AntiVir PersonalEdition Classic\EVENTDB moved successfully.

C:\Program Files\AntiVir PersonalEdition Classic\FAILSAFE moved successfully.

C:\Program Files\AntiVir PersonalEdition Classic moved successfully.

 

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 01102009_011538

 

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : 14 محرم, 1430 03:11

 

La recherche porte sur 1177639 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 2) [5.1.2600]

Mode Boot : Mode sans échec

Identifiant : Administrator

Nom de l'ordinateur :AA

 

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 04/12/1429 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 20/11/1429 07:21:02

AVSCAN.DLL : 8.1.4.1 49921 Bytes 18/07/1429 12:44:28

LUKE.DLL : 8.1.4.5 164097 Bytes 08/06/1429 11:44:18

LUKERES.DLL : 8.1.4.0 13057 Bytes 01/07/1429 06:30:28

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/1429 10:30:38

ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 26/12/1429 00:41:08

ANTIVIR2.VDF : 7.1.1.88 726528 Bytes 12/01/1430 00:41:28

ANTIVIR3.VDF : 7.1.1.94 77824 Bytes 13/01/1430 00:41:30

Version du moteur: 8.2.0.54

AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/1429 09:05:58

AESCRIPT.DLL : 8.1.1.24 340348 Bytes 14/01/1430 00:42:12

AESCN.DLL : 8.1.1.5 123251 Bytes 09/11/1429 14:06:42

AERDL.DLL : 8.1.1.3 438645 Bytes 06/11/1429 12:58:40

AEPACK.DLL : 8.1.3.5 393588 Bytes 14/01/1430 00:42:08

AEOFFICE.DLL : 8.1.0.33 196987 Bytes 14/01/1430 00:42:00

AEHEUR.DLL : 8.1.0.78 1532280 Bytes 14/01/1430 00:41:56

AEHELP.DLL : 8.1.2.0 119159 Bytes 14/01/1430 00:41:40

AEGEN.DLL : 8.1.1.8 323956 Bytes 14/01/1430 00:41:38

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/1429 09:05:58

AECORE.DLL : 8.1.5.2 172405 Bytes 14/01/1430 00:41:32

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/1429 09:05:58

AVWINLL.DLL : 1.0.0.12 15105 Bytes 06/07/1429 07:40:04

AVPREF.DLL : 8.0.2.0 38657 Bytes 11/05/1429 08:28:00

AVREP.DLL : 8.0.0.2 98344 Bytes 28/07/1429 11:02:16

AVREG.DLL : 8.0.0.1 33537 Bytes 04/05/1429 10:26:38

AVARKT.DLL : 1.0.0.23 307457 Bytes 05/02/1429 07:29:20

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 08/06/1429 11:27:48

SQLITE3.DLL : 3.3.17.1 339968 Bytes 14/01/1429 16:28:04

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 08/06/1429 11:49:38

NETNT.DLL : 8.0.0.1 7937 Bytes 17/01/1429 11:05:08

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 01/07/1429 06:23:18

RCTEXT.DLL : 8.0.52.1 86273 Bytes 14/07/1429 09:08:44

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: interactif

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:, D:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: arrêt

Fichier mode de recherche........: Tous les fichiers

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Début de la recherche : 14 محرم, 1430 03:11

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'11' processus ont été contrôlés avec '11' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '57' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\_OTMoveIt\MovedFiles\01042009_145018\Program Files\FindyKill\Tools\Kill.exe

[RESULTAT] Contient le modèle de détection de l'application APPL/Tool.PsKill.2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49d3fd8a.qua' !

C:\_OTMoveIt\MovedFiles\01042009_145018\Program Files\Winamp\InFlac-Uninstall.exe

[RESULTAT] Contient le code du virus Windows W32/Sality.Y

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49adfde7.qua' !

Recherche débutant dans 'D:\'

D:\Program Files\Kerio\Personal Firewall 4\crashdump.tar.gz

[0] Type d'archive: GZ

--> crashdump.tar

[1] Type d'archive: TAR (tape archiver)

--> Memory.dmp

[AVERTISSEMENT] Impossible d'écrire le fichier !

 

 

Fin de la recherche : 14 محرم, 1430 03:55

Temps nécessaire: 44:39 Minute(s)

 

La recherche a été effectuée intégralement

 

3060 Les répertoires ont été contrôlés

120266 Des fichiers ont été contrôlés

2 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

2 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

120263 Fichiers non infectés

605 Les archives ont été contrôlées

2 Avertissements

2 Consignes

[Thanos]

salut

 

A propos de ce dernier, Antivir a detecte 2 fichiers infectes, c'etait ceux qui se trouvaient dans MovIt justement... Je les ai places en quarantaine. Que faut-il en faire?

Ils se trouvaient dans la quarantaine de OTMoveIT et ils se retrouvent dans la quarantaine d'Antivir à présent

Tu peux les supprimer de la quarantaine d'Antivir si tu veux: un des deux était un fichier infecté par sality et l'autre, un exécutable appartenant à l'outil FindyKill (donc pas une infection).

Procède comme sur la capture >>

A propos d'Antivir, dans le rapport du scan, on peux voir ceci dans la configuration >

Recherche de Rootkits............: arrêt

Tu vas modifier ce paramètre comme ceci >

 

Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et choisis Configure Antivir

Dans la fenêtre, coche la case Expert Mode

Juste en dessous, clique sur le menu Scanner

Sur le panneau de droite, coche la case Search for Rootkits before scan

Ca doit ressembler à ceci >>

Clique sur le bouton OK pour valider en bas de page.

Ferme la fenêtre après ca.

Les instructions ci-dessus sont en anglais, mais tu trouveras facilement la correspondance sur la version française

 

J'ai par ailleurs installe Kerio (j'ai un crack, mais je suppose que tu me conseilleras de ne pas m'en servir icon_Tsss.gif )

Tu connais mon avis la dessus! croquis, ne déconne pas avec les cracks!! je peux t'assurer que les cracks proposés sont à 90% au moins des infections déguisées!! J'en sais quelque chose, puisqu'il m'arrive d'en télécharger à des fins d'analyse d'infection.... Je te renvoie sur les liens vers les articles >> http://forum.zebulon.fr/infection-generali...05#entry1330005

Par ex pourquoi t'emmerder à cracker Kério?? la version de base est suffisante. Tu en a d'autres qui permettent des réglages plus pointus si vraiment tu désires faire des règles spécifiques (Jetico par ex).

Un redemarrage a ete effectue mais a l'ouverture de la session Windows... rien, pas de fenetre Kerio ni d'icone en bas a droite et lorsque j'ouvre le programme un pop-up Kerio me demande un nom d'hote et un mot-de-passe icon_confused.gif Que dois-je faire? Sur le tuto de Malekal, on n'en parle pas...

Essaie d'entrer ce nom d'hôte >> Admin et laisse le mot de passe vide.

Dois-je par ailleurs reinstaller CCleaner (qui ne fonctionne plus completement) et Spybot (que j'avais efface)?

Tu peux désinstaller CCleaner puis le réinstaller si tu t'en sert. Par contre pour Spybot, il n'est pas franchement efficace à mon avis! Malwarebytes' Anti-Malware (MBAM ) fera mieux! Il ne protègera pas ton pc : pour bénéficier de sa fonction de protection résidente et ses mises à jour automatiques, il faudra acheter la licence. Ceci dit, il est toujours efficace pour nettoyer ton pc! il suffit juste de le mettre à jour manuellement avant tout scan (en mode sans échec de préférence).

Assez curieusement, le rapport d'Antivir mentionne (a la 2eme ligne) la date du jour ... en calendrier musulman.... J'imagine que ce n'est guere important mais c'est bizarre, d'autant que le programme en lui meme affiche le calendrier habituel.

Heu....oui je sais pas pourquoi là...!! Je vais me renseigner par curiosité!

J'ai crée un nouveau post avec le résultat du scan en ligne de mon second ordi. Comme tu le verras, il est propre mais une des deux clés USB est infectée par Sality.aa.

croquis, si jamais tu n'as rien d'important sur cette clé usb, je te conseille de la formater carrément! Autant ne prendre aucun risque, surtout avec cette infection! Si elle se propage sur le disque dur et qu'elle s'attaque aux fichiers système, ca pue!

 

 

Tente de réinstaller Kério si jamais tu ne parviens pas à le faire fonctionner: dans le pire des cas, n'oublie pas qu'il y a d'autres parefeu gratos et efficaces

[croquis]

Bonsoir Maitre Thanos

 

Voila! Apres quelques bidouillages dont un nettoyage de cles de registre laissees par Kerio, j'ai tente de reinstaller le firewall et cette fois, ca marche!!! Donc me voici equipe avec Antivir, Kerio, Malewarebytes et CCleaner (reinstalle et pleinement fonctionnel) J'ai egalement installe ATF Cleaner vu mon manque de place, ce n'est pas du luxe!

Ca fait plus serieux comme ca tout de meme.

 

Comme tu me l'avais demande, j'ai fait tourner RSIT apres avoir installe Kerio. Etrangement, je ne vois que log.txt et aucune trace du fichier info.txt (ni en reduction dans la barre des taches, ni dans C:\rsit)

 

En ce qui concerne ma cle USB, evidemment, comme tu me le conseilles, la meilleure solution serait de la formater mais j'ai des fichiers tres importants dessus (+/- 700Mb). J'ai elimine les 4 fichiers infectes par Sality. J'ai rescanne la cle avec Antivir qui n'a plus rien detecte.

 

--> Penses-tu que je puisse maintenant ouvrir cette cle sans crainte..?

 

--> Et le disque dur externe (H:\) sur lequel j'avais transfere mes doc - et qlq fichiers infectes aussi - qui etait apparemment finalement desinfecte?

 

Voila, donc je ne te poste donc que le fichier log.txt :

 

Mille merci pour tout

A+

Croquis

 

Logfile of random's system information tool 1.05 (written by random/random)

Run by Ahmed at 2009-01-12 00:12:47

Microsoft Windows XP Professional Service Pack 2

System drive C: has 81 MB (2%) free of 5 GB

Total RAM: 319 MB (36% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:13:26 AM, on 1/12/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\WINDOWS\system32\atievxx.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Ahmed\Desktop\RSIT.exe

C:\Program Files\trend micro\Ahmed.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/m...90/mcinsctl.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688

O17 - HKLM\System\CCS\Services\Tcpip\..\{9368B0B3-40BE-406A-AA63-5B2BB2ACE365}: NameServer = 213.131.66.246,213.131.65.20

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

 

--

End of file - 5333 bytes

 

======Scheduled tasks folder======

 

C:\WINDOWS\tasks\Tune-up Application Start.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

Adobe PDF Reader Link Helper - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

Java Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2009-01-04 320920]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-01-04 34816]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-04 73728]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"VirtualCloneDrive"=D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [2006-04-29 94208]

"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-01-04 136600]

"avgnt"=C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]

 

C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Microsoft Office.lnk - D:\Program Files\Microsoft Office\Office10\OSA.EXE

Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

"EnableLUA"=0

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=177

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\Yahoo!\Messenger\YPager.exe"="C:\Program Files\Yahoo!\Messenger\YPager.exe:*:Enabled:Yahoo! Messenger"

"C:\Program Files\Yahoo!\Messenger\YServer.exe"="C:\Program Files\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server"

"C:\Program Files\MESfone Dialer\sgtlpcph.exe"="C:\Program Files\MESfone Dialer\sgtlpcph.exe:*:Disabled:msptfone Module"

"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

"C:\WINDOWS\Explorer.EXE"="C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec"

"C:\Program Files\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe"="C:\Program Files\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe:*:Enabled:ipsec"

"C:\Program Files\CCleaner\ccleaner.exe"="C:\Program Files\CCleaner\ccleaner.exe:*:Enabled:ipsec"

"D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe"="D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe:*:Enabled:ipsec"

"C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe:*:Enabled:ipsec"

"G:\jnnuil.pif"="G:\jnnuil.pif:*:Enabled:ipsec"

"C:\WINDOWS\system32\MSTMON_N.EXE"="C:\WINDOWS\system32\MSTMON_N.EXE:*:Enabled:ipsec"

"C:\EmergencyUtils\Copy_of_MSConfig.exe"="C:\EmergencyUtils\Copy_of_MSConfig.exe:*:Enabled:ipsec"

"C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe:*:Enabled:ipsec"

"C:\Program Files\D-Link\DSL-210\CnxDslTb.exe"="C:\Program Files\D-Link\DSL-210\CnxDslTb.exe:*:Enabled:ipsec"

"C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"="C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe:*:Enabled:ipsec"

"C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe"="C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe:*:Enabled:ipsec"

"C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe:*:Enabled:ipsec"

"C:\DOCUME~1\Ahmed\LOCALS~1\Temp\curly.exe"=""

"C:\Program Files\Internet Explorer\IEXPLORE.EXE"="C:\Program Files\Internet Explorer\IEXPLORE.EXE:*:Enabled:ipsec"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{378ceb70-d4ee-11dd-919b-aa47bc147a6a}]

shell\AutOpLAy\command - peig.exe

shell\AutoRun\command - peig.exe

shell\explORE\command - peig.exe

shell\oPen\command - peig.exe

 

 

======List of files/folders created in the last 1 months======

 

2009-01-11 22:57:04 ----D---- C:\Program Files\Sunbelt Software

2009-01-11 18:21:15 ----HD---- C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$

2009-01-11 18:20:39 ----HD---- C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$

2009-01-11 18:19:47 ----HD---- C:\WINDOWS\$NtUninstallKB915865$

2009-01-11 18:19:32 ----N---- C:\WINDOWS\system32\xmllite.dll

2009-01-11 18:16:27 ----D---- C:\WINDOWS\network diagnostic

2009-01-11 18:16:25 ----HD---- C:\WINDOWS\$NtUninstallKB914440$

2009-01-11 18:15:59 ----HD---- C:\WINDOWS\$NtUninstallKB904942$

2009-01-10 02:38:44 ----D---- C:\Program Files\Avira

2009-01-10 02:38:44 ----D---- C:\Documents and Settings\All Users\Application Data\Avira

2009-01-10 01:19:44 ----HD---- C:\WINDOWS\$NtUninstallKB952069_WM9$

2009-01-10 01:18:35 ----HD---- C:\WINDOWS\$NtUninstallKB958215$

2009-01-10 01:14:21 ----HD---- C:\WINDOWS\$NtUninstallKB960714$

2009-01-05 15:42:44 ----D---- C:\rsit

2009-01-04 02:10:03 ----A---- C:\WINDOWS\system32\javaws.exe

2009-01-04 02:10:03 ----A---- C:\WINDOWS\system32\javaw.exe

2009-01-04 02:10:03 ----A---- C:\WINDOWS\system32\java.exe

2009-01-04 02:10:03 ----A---- C:\WINDOWS\system32\deploytk.dll

2009-01-04 01:25:55 ----D---- C:\_OTMoveIt

2009-01-02 22:51:07 ----D---- C:\Documents and Settings\Ahmed\Application Data\Malwarebytes

2009-01-02 22:50:58 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2009-01-02 22:50:57 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2009-01-02 22:31:52 ----D---- C:\Program Files\Trend Micro

2009-01-02 13:02:49 ----HD---- C:\WINDOWS\$NtUninstallKB955839$

2009-01-02 13:01:46 ----HD---- C:\WINDOWS\$NtUninstallKB956841$

2009-01-02 13:01:29 ----HD---- C:\WINDOWS\$NtUninstallKB957097$

2009-01-02 13:01:15 ----HD---- C:\WINDOWS\$NtUninstallKB954600$

2009-01-02 13:00:57 ----HD---- C:\WINDOWS\$NtUninstallKB955069$

2009-01-02 13:00:35 ----HD---- C:\WINDOWS\$NtUninstallKB956802$

2009-01-02 00:59:54 ----RASH---- C:\boot.ini

2009-01-01 22:44:54 ----D---- C:\EmergencyUtils

 

======List of files/folders modified in the last 1 months======

 

2009-01-11 22:58:32 ----A---- C:\WINDOWS\SchedLog.Txt

2009-01-06 17:51:14 ----A---- C:\WINDOWS\win.ini

2009-01-06 17:51:14 ----A---- C:\WINDOWS\system.ini

2009-01-03 23:23:12 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI

2009-01-03 02:42:44 ----A---- C:\WINDOWS\system32\ZSHP1018.EXE

2009-01-03 02:42:40 ----A---- C:\WINDOWS\system32\SpoonUninstall.exe

2009-01-03 02:42:06 ----A---- C:\WINDOWS\iun6002ev.exe

2009-01-03 02:42:06 ----A---- C:\WINDOWS\IsUn040c.exe

2009-01-03 02:42:04 ----A---- C:\WINDOWS\CDPLAYER.EXE

2009-01-02 18:06:06 ----A---- C:\WINDOWS\NeroDigital.ini

2008-12-28 01:34:20 ----A---- C:\WINDOWS\PhotoSnapViewer.INI

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 AmdK7;AMD K7 Processor Driver; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2004-08-04 37376]

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys []

R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-10-30 75072]

R1 SbFw;SbFw; C:\WINDOWS\system32\drivers\SbFw.sys [2008-10-31 270888]

R1 sbhips;Sunbelt HIPS Driver; C:\WINDOWS\system32\drivers\sbhips.sys [2008-06-21 66600]

R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]

R2 ANIO;ANIO Service; \??\C:\WINDOWS\system32\ANIO.SYS []

R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2006-04-22 8064]

R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-08-03 11868]

R3 atimpab;atimpab; C:\WINDOWS\system32\DRIVERS\atimpab.sys [2001-08-17 289664]

R3 avgntflt;avgntflt; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []

R3 CB102;Linksys EtherFast Integrated 10/100 CardBus PC Card(PCM200); C:\WINDOWS\system32\DRIVERS\cb102.sys [2001-09-14 42752]

R3 CmBatt;Microsoft ACPI Control Method Battery Driver; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-03 14080]

R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2005-05-03 27392]

R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2005-04-12 4608]

R3 HSF_DP;HSF_DP; C:\WINDOWS\system32\DRIVERS\HSFDPSP2.sys [2004-08-03 1041536]

R3 HSFHWBS2;HSFHWBS2; C:\WINDOWS\system32\DRIVERS\HSFBS2S2.sys [2004-08-03 220032]

R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport; C:\WINDOWS\system32\DRIVERS\sbfwim.sys [2008-06-21 65576]

R3 usbhub;Microsoft USB Standard Hub Driver; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]

R3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]

R3 VIAudio;VIA AC'97 Audio Controller (WDM); C:\WINDOWS\system32\drivers\ac97via.sys [2004-08-03 84480]

R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSFCXTS2.sys [2004-08-03 685056]

S3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB); C:\WINDOWS\system32\DRIVERS\A3AB.sys [2005-03-22 450400]

S3 abp470n5;abp470n5; \??\C:\WINDOWS\system32\drivers\jgqkkm.sys []

S3 CnxEtP;Conexant AccessRunner USB ADSL WAN Adapter Filter Driver; C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2003-09-12 60288]

S3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver; C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2003-09-12 646784]

S3 CnxTgN;Conexant AccessRunner USB ADSL WAN Adapter Driver; C:\WINDOWS\system32\DRIVERS\CnxTgN.sys [2003-10-29 108675]

S3 HidUsb;Microsoft HID Class Driver; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]

S3 mouhid;Mouse HID Driver; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-17 12160]

S3 Ser2pl;IndianZZ2 Serial port driver; C:\WINDOWS\system32\DRIVERS\ser2pl.sys [2003-12-01 43136]

S3 usbaudio;USB Audio Driver (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]

S3 usbccgp;Microsoft USB Generic Parent Driver; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]

S3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]

S3 usbohci;Microsoft USB Open Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-08-03 17024]

S3 usbprint;Microsoft USB PRINTER Class; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]

S3 usbscan;USB Scanner Driver; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]

S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

S4 sr;System Restore Filter Driver; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-04 73472]

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 ANIWZCSdService;ANIWZCSd Service; C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe [2009-01-03 49152]

R2 AntiVirScheduler;Planificateur Avira AntiVir Personal - Free Antivirus; C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]

R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\atievxx.exe [2001-08-17 37376]

R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-01-04 152984]

R2 SbPF.Launcher;SbPF.Launcher; C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [2008-10-31 95528]

R2 SPF4;Sunbelt Personal Firewall 4; C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [2008-10-31 1365288]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]

S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:\Program Files\Windows Media Player\WMPNetwk.exe [2009-01-03 913408]

S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]

 

-----------------EOF-----------------

[Thanos]

salut croquis

 

Très bien ce dernier rapport: tout est en place et fonctionnel

Comme tu me l'avais demande, j'ai fait tourner RSIT apres avoir installe Kerio. Etrangement, je ne vois que log.txt et aucune trace du fichier info.txt (ni en reduction dans la barre des taches, ni dans C:\rsit)

Pas de souci! en fait RSIT produit un rapport info.txt la première fois que tu l'utilises. Comme tu l'as déjà posté plus haut, pas besoin

En ce qui concerne ma cle USB, evidemment, comme tu me le conseilles, la meilleure solution serait de la formater mais j'ai des fichiers tres importants dessus (+/- 700Mb). J'ai elimine les 4 fichiers infectes par Sality. J'ai rescanne la cle avec Antivir qui n'a plus rien detecte.

Oui, je comprends bien: si Antivir n'a rien détecté de néfaste dans les fichiers scannés, tu peux être confiant et utiliser ta clé usb.

--> Et le disque dur externe (H:\) sur lequel j'avais transfere mes doc - et qlq fichiers infectes aussi - qui etait apparemment finalement desinfecte?

On avait éliminé les fichiers infectés par sality (grace à OtMoveIt) qu'AVP Tool avait détecté sur ce lecteur: le scan Kaspersky en ligne suivant n'avait plus rien toruvé sur le disque, donc il n'y a pas de souci Tu peux éventuellement le re-scanner avec Antivir par précaution si tu veux (comme tu as fait pour la clé usb).

 

Juste une petite retouche pour terminer et après ça c'est bon >>

 

1°) Utilisation de OtMoveIT3

• Fais un double clic sur OTMoveIt3.com pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :reg
  [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
  "G:\jnnuil.pif"=-
  "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\curly.exe"=-
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{378ceb70-d4ee-11dd-919b-aa47bc147a6a}]

  
  

• Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste Instructions for Items to be Moved" (sous la barre jaune) puis choisir Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt3
  
• Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

 

2°) Après ca un peu de nettoyage >>

 

Elimine le fichier OTMoveIT3.com ainsi que le dossier C:\_OTMoveIt

 

Si tu penses ne plus en avoir besoin, tu peux aussi éliminer le fichier RSIT.exe sur le Bureau ainsi que le dossier C:\rsit

 

Double-clique sur ATF Cleaner afin de lancer le programme.

• Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Si tu utilises le navigateur Firefox :
   
   
  
• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Si tu utilises le navigateur Opera :
   
   
  
• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

 

 

3°) On purge la restauration système car il y a peut être des points de restauration infectés (ca évitera de réinstaller l'infection au cas où tu es amené à l'utiliser) => aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC. Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

croquis: Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. Par exemple il serait bon d'installer le Service Pack3 ainsi qu'Internet Explorer 7.

Mais personnellement, je te conseille chaudement FireFox qui est bien mieux sécurisé à la base >>

- Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/

- Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628

 

Tu peux utiliser ce programme qui aide à faire le point sur les logiciels qui ont besoin d'une mise à jour >>PSI de Secunia<<

 

JavaRa peut t'y aider pour Java : http://raproducts.org/

 

Je te conseille vivement de faire des sauvegardes régulières des données qui ont de l'importance pour toi. Lorsqu'on y pense, il est souvent trop tard! Une grosse infection ou un plantage de la machine peuvent rendre les données irrécupérables... Aussi, afin d'éviter ce gros désagrément, il faut prendre l'habitude de faire des sauvegardes régulières. Pour celà je te conseille le logiciel gratuit >>Cobian Backup 8<<

Ce tutoriel montre comment l'utiliser >> http://www.astucesinternet.com/modules/new...php?storyid=207

 

Des conseils pour sécuriser ton pc au mieux et comprendre les dangers liés à l'utilisation de l'internet dans les deux lien ci-dessous. Je t'invite à prendre le temps de bien lire tout cela, de t'informer, d'essayer... Pour trouver quels sont les softs qui te conviennent le mieux.

 

Malekal_Morte : http://www.malekal.com/

Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

 

Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier.

- IMPORTANT :une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, etc) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre!!)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles avec ATF cleaner, nettoyage de la base de registre avec jv16, scandisk, defragmentation du disque dur régulière)

- scan hebdomadaire antispyware

***

 

Pense à changer le titre et y rajouter " Résolu" stp.

Sous ton premier message, clique sur le bouton "Editer" puis "Edition complête".

Là, tu aura la possibilité d'éditer ton titre et d'y ajouter [résolu]

 

bon surf @ toi

A bientot sur les forums de sans malwares!