Virus ou faux positif

corsica58 · le 1 avril 2009

Bonjour,

Depuis plusieurs semaines Bit Defender m'alerte régulièrement au niveau du pare feu en indiquant TODO: <File Description> ; que le programme est sain et après recherches du dossier cible ; des dossiers MFC sont effectivement présents dans TEMP ; de plus il m'alerte de la présence d'un Trojan avec aucune action possible, ce qui me contrarie fortement !

Problèmes non résolus :Nom de l'objet Nom de la menace Etat final

[system]=]C:\Users\Philippe\AppData\Local\mstinit.exe *32 (memory dump) Gen:Trojan.Heur.GM.0804000422 Aucune action possible

Est ce vraiment un trojan ou un virus et comment résoudre ce problème ?

Merci beaucoup de votre diligence

pear · le 2 avril 2009

Bonjour,

Téléchargez Malwarebytes' Anti-Malware (MBAM)

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Si la mise à jour automatique échouait pour une raison quelconque,par exemple une installation de Mbam sur clé usb,

Téléchargez la mise à jour ici

double-cliquer sur le fichier mbam-rules.exe pour installer la mise à jour

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

Antivir est maintenant en version9 Anglaise. Le Français est prévu fin Avril

Télécharger Avira AntiVir Personal Edition en Anglais

Télécharger Avira AntiVir Personal Edition en Français

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

....AntiVir ne laisse pas entrer Bagle, sauf si l'utilisateur lui force la main pour récupérer un crack

Paramètres conseillés

Clic droit sur le parapluie---------------------->Configure-Configurer

Cliquer Expert mode----------------------------->Scan-Recherche:

Cocher: ----------------------------------------------->All files -Tous les Fichiers

Additionnal Settings-Autres réglages:--->tout cocher

Clic sur Scan+ -Recherche+

Action for concerning files -Action en cas de résultat positif:

Cocher-------------------------------------------------->Copie file to quarantine before action-Copier le fichier dans la quarantaine avant l'action:

Primary action-Action principale............>: Repair :Réparer ( au cas ou ce serait un fichier système corrompu)

Secondary action.-Action secondaire...>.: Delete-Supprimer ( s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine)

Désactivez votre antivirus actuel

Redémarrez en mode sans échec.

Lancez le scan

Postez le rapport

corsica58 · le 2 avril 2009

Bonsoir Pear et merci d'avoir répondu

J'ai tardé un peu à poursuivre cette conversation bien que le besoin s'en fait sentir de plus en plus ! je suis en train de scaner avec Malwarebytes et j'ai installé Antivir mais malheureusement les options de la version que j'ai téléchargé ne correspondent pas à celles mentionnées dans ton mail et notamment pour le réglage des scans ?

Encore merci je garde le contact !

J'ai omis de te demander si les scans devaient se faire en mode sans échec ou non ?

corsica58 · le 2 avril 2009

Excuses moi et autant pour moi les options sont ok et le scan semble devoir se faire en mode sans échec ! a plus

corsica58 · le 2 avril 2009

Ci joint le rapport de MBAM

Malwarebytes' Anti-Malware 1.35

Version de la base de données: 1893

Windows 6.0.6001 Service Pack 1

02/04/2009 19:49:54

mbam-log-2009-04-02 (19-49-54).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|I:\|J:\|K:\|M:\|N:\|)

Eléments examinés: 191126

Temps écoulé: 24 minute(s), 23 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

pear · le 2 avril 2009

Bonsoir

J'attends le rapport Antivir en mode sans échec.

Mbam, c'est en mode normal

corsica58 · le 2 avril 2009

Ouf enfin le rapport Antivir ; plusieurs fichiers ont été placés en quarantaine lors de la mise en place de Antivir ? comment te les communiquer ?

Avira AntiVir Personal

Date de création du fichier de rapport : jeudi 2 avril 2009 20:27

La recherche porte sur 1337662 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows Vista x64 Edition

Version de Windows :(Service Pack 1) [6.0.6001]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur :PC-DE-PHILIPPE

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 07:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 12:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 11:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 06:30:27

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:30:36

ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 17:32:20

ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 01/04/2009 17:32:24

ANTIVIR3.VDF : 7.1.3.7 34816 Bytes 02/04/2009 17:32:25

Version du moteur: 8.2.0.129

AEVDF.DLL : 8.1.1.0 106868 Bytes 02/04/2009 17:32:36

AESCRIPT.DLL : 8.1.1.70 369019 Bytes 02/04/2009 17:32:35

AESCN.DLL : 8.1.1.8 127346 Bytes 02/04/2009 17:32:34

AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 12:58:38

AEPACK.DLL : 8.1.3.11 397687 Bytes 02/04/2009 17:32:33

AEOFFICE.DLL : 8.1.0.36 196987 Bytes 02/04/2009 17:32:32

AEHEUR.DLL : 8.1.0.111 1679736 Bytes 02/04/2009 17:32:30

AEHELP.DLL : 8.1.2.2 119158 Bytes 02/04/2009 17:32:28

AEGEN.DLL : 8.1.1.31 340341 Bytes 02/04/2009 17:32:27

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 09:05:56

AECORE.DLL : 8.1.6.6 176501 Bytes 02/04/2009 17:32:26

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 09:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 07:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 08:27:58

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 11:02:15

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 10:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 07:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 11:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 16:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 11:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 11:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 06:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 09:08:43

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: f:\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: réparer

Action secondaire................: supprimer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:, D:, E:, F:, G:, I:, J:, K:, M:, N:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: arrêt

Fichier mode de recherche........: Tous les fichiers

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

Début de la recherche : jeudi 2 avril 2009 20:27

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FlashUtil10b.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '0' module(s) sont contrôlés

Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmpnetwk.exe' - '0' module(s) sont contrôlés

Processus de recherche 'wmpnscfg.exe' - '0' module(s) sont contrôlés

Processus de recherche 'KHALMNPR.exe' - '0' module(s) sont contrôlés

Processus de recherche 'SetPoint32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'reader_sl.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smax4pnp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SoundTray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SetPoint.exe' - '0' module(s) sont contrôlés

Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sidebar.exe' - '0' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '0' module(s) sont contrôlés

Processus de recherche 'bdagent.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'livesrv.exe' - '0' module(s) sont contrôlés

Processus de recherche 'vsserv.exe' - '0' module(s) sont contrôlés

Processus de recherche 'SDWinSec.exe' - '1' module(s) sont contrôlés

Processus de recherche 'xcommsvr.exe' - '0' module(s) sont contrôlés

Processus de recherche 'SearchIndexer.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'PnkBstrB.exe' - '1' module(s) sont contrôlés

Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MagicTuneEngine.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AEADISRV.EXE' - '0' module(s) sont contrôlés

Processus de recherche 'aaCenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '0' module(s) sont contrôlés

Processus de recherche 'RtWLan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '0' module(s) sont contrôlés

Processus de recherche 'dwm.exe' - '0' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'SLsvc.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'nvvsvc.exe' - '0' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'lsm.exe' - '0' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '0' module(s) sont contrôlés

Processus de recherche 'services.exe' - '0' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés

Processus de recherche 'wininit.exe' - '0' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '0' module(s) sont contrôlés

'27' processus ont été contrôlés avec '27' modules

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD2

[iNFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'E:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'F:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'G:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'I:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'J:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'K:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'M:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'N:\'

[iNFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '34' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

Fin de la recherche : jeudi 2 avril 2009 20:27

Temps nécessaire: 00:27 Minute(s)

La recherche a été interrompue !

45 Les répertoires ont été contrôlés

10575 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

10574 Fichiers non infectés

134 Les archives ont été contrôlées

1 Avertissements

0 Consignes

corsica58 · le 2 avril 2009

Bonsoir Pear

Ouf enfin le rapport Antivir ; plusieurs fichiers ont été placés en quarantaine lors de la mise en place de Antivir ? comment te les communiquer ?

Excuses moi mais dans la panique je me suis trompé de rapport ! voici le bon

Avira AntiVir Personal

Date de création du fichier de rapport : jeudi 2 avril 2009 20:06

La recherche porte sur 1337662 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows Vista x64 Edition

Version de Windows :(Service Pack 1) [6.0.6001]

Mode Boot : Mode sans échec

Identifiant : Philippe

Nom de l'ordinateur :PC-DE-PHILIPPE

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 07:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 12:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 11:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 06:30:27

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:30:36

ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 17:32:20

ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 01/04/2009 17:32:24

ANTIVIR3.VDF : 7.1.3.7 34816 Bytes 02/04/2009 17:32:25

Version du moteur: 8.2.0.129

AEVDF.DLL : 8.1.1.0 106868 Bytes 02/04/2009 17:32:36

AESCRIPT.DLL : 8.1.1.70 369019 Bytes 02/04/2009 17:32:35

AESCN.DLL : 8.1.1.8 127346 Bytes 02/04/2009 17:32:34

AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 12:58:38

AEPACK.DLL : 8.1.3.11 397687 Bytes 02/04/2009 17:32:33

AEOFFICE.DLL : 8.1.0.36 196987 Bytes 02/04/2009 17:32:32

AEHEUR.DLL : 8.1.0.111 1679736 Bytes 02/04/2009 17:32:30

AEHELP.DLL : 8.1.2.2 119158 Bytes 02/04/2009 17:32:28

AEGEN.DLL : 8.1.1.31 340341 Bytes 02/04/2009 17:32:27

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 09:05:56

AECORE.DLL : 8.1.6.6 176501 Bytes 02/04/2009 17:32:26

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 09:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 07:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 08:27:58

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 11:02:15

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 10:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 07:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 11:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 16:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 11:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 11:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 06:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 09:08:43

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: f:\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: réparer

Action secondaire................: supprimer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:, D:, E:, F:, G:, I:, J:, K:, M:, N:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: arrêt

Fichier mode de recherche........: Tous les fichiers

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

Début de la recherche : jeudi 2 avril 2009 20:06

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WmiPrvSE.exe' - '0' module(s) sont contrôlés