infecté par cheval de troie

[jefaiqoi]

Bonjour,

 

Mon système est à nouveau attaqué par un cheval de troie

Je poste le rapport de mon anti virus

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : mardi 6 janvier 2009 17:31

 

La recherche porte sur 1150107 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 2) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur :LAURENCE

 

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24/12/2008 16:52:00

ANTIVIR2.VDF : 7.1.1.60 318976 Bytes 02/01/2009 16:52:04

ANTIVIR3.VDF : 7.1.1.72 114688 Bytes 05/01/2009 17:09:26

Version du moteur: 8.2.0.45

AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56

AESCRIPT.DLL : 8.1.1.19 336252 Bytes 02/01/2009 16:52:25

AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41

AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38

AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39

AEOFFICE.DLL : 8.1.0.33 196987 Bytes 02/01/2009 16:52:22

AEHEUR.DLL : 8.1.0.75 1524087 Bytes 02/01/2009 16:52:20

AEHELP.DLL : 8.1.2.0 119159 Bytes 02/01/2009 16:52:10

AEGEN.DLL : 8.1.1.8 323956 Bytes 02/01/2009 16:52:09

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56

AECORE.DLL : 8.1.5.2 172405 Bytes 02/01/2009 16:52:07

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: interactif

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:, D:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: arrêt

Fichier mode de recherche........: Sélection de fichiers intelligente

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

 

Début de la recherche : mardi 6 janvier 2009 17:31

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jucheck.exe' - '1' module(s) sont contrôlés

Processus de recherche 'cidaemon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'NkMonitor.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés

Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés

Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés

Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'NMSAccessU.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'w3dbsmgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleUpdaterService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ehrecvr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WGE_SRV.exe' - '1' module(s) sont contrôlés

Processus de recherche 'cisvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'51' processus ont été contrôlés avec '51' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '58' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <Systeme>

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\Zylom\SafariIsland\fr-FR\safariisland.1.0.1.fr-FR.cab

[0] Type d'archive: CAB (Microsoft)

--> SafariIsland.dll

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

C:\iQon\Geforce & TNT110806\91.31_winxp2kmce_international_whql.exe

[0] Type d'archive: CAB SFX (self extracting)

--> \NVCPL.HL_

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

C:\System Volume Information\_restore{6169B903-F9D8-4512-A58B-9CA46188E15E}\RP134\A0014828.exe

[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

[AVERTISSEMENT] Fichier ignoré.

C:\System Volume Information\_restore{6169B903-F9D8-4512-A58B-9CA46188E15E}\RP161\A0017882.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.CFI.Gen

[AVERTISSEMENT] Fichier ignoré.

Recherche débutant dans 'D:\' <Data>

D:\System Volume Information\_restore{6169B903-F9D8-4512-A58B-9CA46188E15E}\RP161\A0017886.exe

[RESULTAT] Contient le cheval de Troie TR/Dldr.Delf.ihy

[AVERTISSEMENT] Fichier ignoré.

D:\System Volume Information\_restore{6169B903-F9D8-4512-A58B-9CA46188E15E}\RP163\A0018241.exe

[RESULTAT] Contient le cheval de Troie TR/FakeAV.15.B

[AVERTISSEMENT] Fichier ignoré.

 

 

Fin de la recherche : mardi 6 janvier 2009 17:59

Temps nécessaire: 28:04 Minute(s)

 

La recherche a été effectuée intégralement

 

8279 Les répertoires ont été contrôlés

311754 Des fichiers ont été contrôlés

4 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

311749 Fichiers non infectés

8158 Les archives ont été contrôlées

7 Avertissements

0 Consignes

[Curson]

Bonsoir,

 

Les malwares détectés par AntiVir se trouvent dans les points de restauration système. Ils ne sont pas actifs.

 

C:\System Volume Information\

Il te suffit d'effacer le contenu de la restauration système :

 

- Cliquer droit sur "Poste de travail" puis choisir "Propriétés".

- Sélectionner l'onglet "Restauration du système".

- Cocher "Désactiver la Restauration du système sur tous les lecteurs" ou "Désactiver la Restauration du système" puis appliquer.

 

- Un message informera la suppression de tous les points de restauration existants.

- Confirmer par "Oui".

- Réactiver ensuite la restauration du système en décochant "Désactiver la Restauration du système".

- Appliquer puis valider par "OK".

 

- Créer ensuite un nouveau point de restauration.

 

 

 

Cordialement.

[jefaiqoi]

Bonsoir CURSON et merci

[Curson]

Ce fut un plaisir.

 

1) Installe le Service Pack 3. Ton système n'est pas à jour et contient des failles de sécurité utilisées par les malwares. Plus d'informations

 

 

Quelques conseils de sécurité

 

- Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release)

- pare-feu bien paramétré - antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier.

- IMPORTANT : une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, etc) et vis à vis de la messagerie (les fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre !!)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

Je te conseille également la lecture de ce document.

 

Si tu désires mieux connaître le domaine de la sécurité informatique, je ne peux que t'encourager à visiter le site de Malekal_Morte.

 

 

Cordialement.

[Falkra]

Bonjour Curson, je ne l'avais pas vu plus tôt, mais je dois te le rappeler ; dans cette section, c'est le groupe sécu qui est habilité à prendre des désinfections en charge.

 

Ceci ne concerne pas la section sécurité > optimisation/prévention.