Virus récalcitrant [Résolu]

[JumpingJack]

Oki, je te fais ça de suite

 

Je te remercie en tout cas pour cette prise en main impressionnante pour sa rapidité et son efficacité !!!

[JumpingJack]

Ca a été un ptit peu long que prévu parce que j'ai profité de la remise d'aplomb du système pour autoriser Windows à effectuer la mise à jour suspendue depuis 2 jours.

 

Au redémarrage, rien à signaler : plus de braviax, plus d'alerte AntiVir

 

Voici le rapport HijackThis généré :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:20:04, on 15/08/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Utilitaires\DU Meter\DUMeter.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Xampp\apache\bin\apache.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

C:\Xampp\apache\bin\apache.exe

C:\Program Files\Microsoft LifeCam\MSCamS32.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Xampp\mysql\bin\mysqld.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe

C:\Documents and Settings\Jacques\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\Internet\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [DU Meter] C:\Program Files\Utilitaires\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe -expressboot

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\Internet\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\Internet\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\Internet\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\Internet\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\Internet\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\Internet\FlashGet\flashget.exe

O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - ESC Trusted Zone: http://*.update.microsoft.com

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apache2.2 - Apache Software Foundation - C:\Xampp\apache\bin\apache.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\Internet\FileZilla Server\FileZilla Server.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: mysql - Unknown owner - C:\Xampp\mysql\bin\mysqld.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

 

--

End of file - 8369 bytes

 

Je me pose quand même la question de savoir comment me protéger d'une prochaine infection.

Elle m'est tombée sans prévenir alors que je surfais sur Firefox (que je ne m'attendais pas à être un vecteur de propagation de cochonneries depuis un cache internet).

Peut être un truc dormant qui s'est activé sans raison apparente ?

[Falkra]

Clean, mais de toute façon, HijackThis ne montre pas grand chose.

 

Désinstalle combofix : entre combofix /u (pas svchost) dans la boite exécuter du menu démarrer.

=> combofix espace slasht u

Après cela, efface ce dossier s'il existe encore :

C:\QooBox

 

Ensuite vire les fichiers que je t'ai fait télécharger : plus besoin.

Si une icône de combofix (le tigre blanc dans le rond rouge) reste sur le bureau après ça, supprime à la main)

--------

 

Il y a des saletés dans la restauration système, et sans doute ailleurs, on va nettoyer.

Mets à jour Antivir et fais un scan complet de ton c:\ (au minimum, sinon scan complet) choisis de réparer (ça met en quarantaine) poste le rapport de scan et ne vide pas la quarantaine.

 

Attention, c'est parfois long (plus d'une heure).

 

--------

On cause prévention éviter ça après, mais c'est venu par le p2p à 8 chances sur 10, sinon un site pourri. Firefox n'est pas en cause, n'importe quel navigateur aurait eu le souci, ça ne dormait certainement pas, c'est une variante récente.

 

Pendant que ça scanne, tu as le droit de lire, voici un dossier pour sécuriser firefox :

http://www.libellules.ch/securiser_firefox_1.php

La partie stripmyrights/dropmyrights/permissions NTFS pose parfois problème et n'est pas obligatoire.

 

Je te conseille au minimum NoScript et CookieSafe en mode liste blanche. Surtout NoScript, qui évite bien des ennuis, quand on se trouve sans le vouloir sur un site piégé.

 

@ toute

 

PS : ne bloque pas la pub d'Antivir, c'est gratuit, c'est déjà bien.

[JumpingJack]

PS : ne bloque pas la pub d'Antivir, c'est gratuit, c'est déjà bien.

Je ne sais pas où tu as vu ça, mais il est vrai que j'avais tenté de bloquer l'annoncement qui prend tout l'écran à l'affichage

Peine perdue, le programme associé à cet affichage est téléchargé à chaque mise à jour de la base virale

 

 

ComboxFix désinstallé (plus d'icone sur le bureau après la commande)

Plus de répertoire C:\QooBox (pas eu à l'effacer)

 

AntiVir mis à jour en version 2009 (oui, je sais, j'ai tardé à le faire )

 

L'installation vient d'aboutir après un scan préalable recommandé

 

Je viens de lancer le check complet ... pas sur qu'il ne se limite qu'à C:\ :s

Rendez vous ... un peu plus tard ... pour le rapport

[Falkra]

IL ne faut pas bloquer cette pub, si on le fait ça paralyse les mises à jour... et à terme Avira fera pire côté pub si on le fait. Autant ne pas scier la branche sur laquelle on est assis, ça garantit la gratuité d'une des versions. Appuie sur Echap dès qu'elle s'affiche, et elle dégage.

 

Très bien pour la mise à jour Antivir.

 

Ok, on voit le rapport dans quelque temps, @ toute.

[JumpingJack]

Bon, pas fier, y a des cochonneries qui doivent trainer depuis un moment (vu qu'il y a un bail que je n'utilise plus les produits concernés).

Je pense qu'il sera facile de tirer la chasse

 

Voici le rapport AntiVir :

 

Avira AntiVir Personal

Date de création du fichier de rapport : samedi 15 août 2009 19:32

 

La recherche porte sur 1639416 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : Jacques

Nom de l'ordinateur : JACK

 

Informations de version :

BUILD.DAT : 9.0.0.66 17958 Bytes 17/06/2009 14:44:00

AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 17:29:45

ANTIVIR2.VDF : 7.1.5.88 2668032 Bytes 10/08/2009 17:29:45

ANTIVIR3.VDF : 7.1.5.117 290304 Bytes 14/08/2009 17:29:45

Version du moteur : 8.2.1.1

AEVDF.DLL : 8.1.1.1 106868 Bytes 15/08/2009 17:29:45

AESCRIPT.DLL : 8.1.2.25 459130 Bytes 15/08/2009 17:29:45

AESCN.DLL : 8.1.2.4 127348 Bytes 15/08/2009 17:29:45

AERDL.DLL : 8.1.2.4 430452 Bytes 15/08/2009 17:29:45

AEPACK.DLL : 8.1.3.18 401783 Bytes 15/08/2009 17:29:45

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 15/08/2009 17:29:45

AEHEUR.DLL : 8.1.0.154 1917302 Bytes 15/08/2009 17:29:45

AEHELP.DLL : 8.1.5.3 233846 Bytes 15/08/2009 17:29:45

AEGEN.DLL : 8.1.1.56 356725 Bytes 15/08/2009 17:29:45

AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40

AECORE.DLL : 8.1.7.6 184694 Bytes 15/08/2009 17:29:45

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15/08/2009 17:29:45

RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: ShlExt

Fichier de configuration......................: C:\DOCUME~1\Jacques\LOCALS~1\Temp\827e8539.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: arrêt

Recherche en cours sur l'enregistrement.......: arrêt

Recherche de Rootkits.........................: arrêt

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Sélection de fichiers intelligente

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Catégories de dangers divergentes.............: +SPR,

 

Début de la recherche : samedi 15 août 2009 19:32

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <System>

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\# Appz\Utilitaires\Macromedia Studio 8 Fr.ace

[0] Type d'archive: ACE

--> Le concept.doc

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

C:\# Appz\Utilitaires\TvTool\TvTool v9.6.4\Archives\o-tvt964.zip

[0] Type d'archive: ZIP

--> Keygen.exe

[RESULTAT] Contient le cheval de Troie TR/Spy.48704

C:\# Appz\Zip\@ Games\Magna Carta\Magna Carta update (MCV104).exe

[0] Type d'archive: ZIP SFX (self extracting)

--> MCAlpha.dll

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

C:\# Archives\validxp.rar

[0] Type d'archive: RAR

--> XPProCorp-keyChanger.exe

--> WindowsXP Product Key Viewer.exe

[RESULTAT] Contient le cheval de Troie TR/Agent.12800.V

C:\# Archives\# Games\michelle pfeiffer1.jpg

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/PicFrame.Gen

C:\# Archives\# Games\Lineage II\Forum\phpbb-themes\RPG.ace

[0] Type d'archive: ACE

--> RPG\images\lang_french\Apost.gif

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

C:\# Archives\# Games\Lineage II\# Saves\SQL\[2007-12-09 - 22h40] L2J.rar

[AVERTISSEMENT] Une exception a été interceptée !

[AVERTISSEMENT] Dans le module aecore.dll, une exception est survenue.

Accès à la fonction AVEPROC_TestFile in file: \\?\C:\# Archives\# Games\Lineage II\# Saves\SQL\[2007-12-09 - 22h40] L2J.rar

Description de l'erreur :ACCESS_VIOLATION

EAX = 07907C98 EBX = 02454A88

ECX = 07907C74 EDX = 00000429

ESI = 06AD8728 EDI = 02454a84

EIP = 013F1DD3 EBP = 01970003

ESP = 0197E398 Flg = 00010283

CS = 00000023 SS = 0000001B

 

Début de la désinfection :

C:\# Appz\Utilitaires\TvTool\TvTool v9.6.4\Archives\o-tvt964.zip

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4afafcfe.qua' !

C:\# Appz\Zip\@ Games\Magna Carta\Magna Carta update (MCV104).exe

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aedfd32.qua' !

C:\# Archives\validxp.rar

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4af2fd33.qua' !

C:\# Archives\# Games\michelle pfeiffer1.jpg

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/PicFrame.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ae9fd3b.qua' !

 

 

Fin de la recherche : samedi 15 août 2009 20:22

Temps nécessaire: 45:17 Minute(s)

 

La recherche a été effectuée intégralement

 

26303 Les répertoires ont été contrôlés

547525 Des fichiers ont été contrôlés

4 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

4 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

547519 Fichiers non infectés

1100 Les archives ont été contrôlées

7 Avertissements

6 Consignes

 

Par contre, je constate en regardant le paramétrage :

Recherche de Rootkits.........................: arrêt

qu'il va peut être falloir que je paramètre plus finement pour une nouvelle analyse

[Falkra]

Pas besoin côté rootkits, en tout cas pas via Antivir. Je vais vérifier un truc, mais je pense que tout va bien.

 

Télécharge Gmer.

Dézippe le dans un dossier ou sur ton bureau.

 

Double-clique sur Gmer.exe.

 

NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter.

 

Clique sur l'onglet rootkit/malware (déjà actif).

A droite, coche Processes, Files , Registry et Services uniquement.

Clique maintenant sur Scan.

 

Lorsque le scan est terminé, clique sur Copy.

 

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

 

---------

 

Ca a fait le ménage, bah quand on dit que les cracks/keygens sont infectés, il faut nous croire. Je ne te ferai pas la leçon, tu as vu les dégâts et le type de procédure lourde pour en venir à bout, on a fait du lourd, très très lourd là.

 

Certains restes peuvent ne pas être encore détectés par Antivir. Désactive la restauration système, puis réactive la juste après pour purger les points de restauration;

Tuto désactiver restauration système, si besoin.

 

Ta bestiole grouille littéralement sur les réseaux p2p, pour info.

 

Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) :

(clique sur l'image).

 

Ton PC est tiré d'affaire là, a priori, ne le réinfecte pas.

Je te prépare la suite côté prévention/sécurisation.

[JumpingJack]

J'ai installé les deux addons NoScript et CookieSafe en mode liste blanche pour Firefox, en attandant d'éplucher le dossier très interessant que tu as proposé pour sécuriser Firefox.

Je pense que ça sera déjà un minimum appréciable pour éviter de retomber sur un site piégé (je pense que c'est ce qui a du se produire).

 

A commencer peut être par StripMyRights qui, si j'ai bien compris, devrait interdire à Firefox l'accès aux répertoires vitaux de Windows comme system32

 

Certains restes peuvent ne pas être encore détectés par Antivir.

Désactive la restauration système, puis réactive la juste après pour purger les points de restauration;

Je n'ai pas encore aborder cette partie.

Si j'ai bien compris, la désactivation des points de restauration va purger les points de sauvegardes (dont éliminer avec eux les éventuels virus qu'ils contiendraient ?)

 

Le check de GMer a été un peu long, et n'a pas encore produit son rapport.

Je le posterai dès qu'il sera dispo.

[Falkra]

StripMyRights interdira certaines choses, à tester, c'est facile à retirer en cas de pépin (le retrait de la clé de registre suffit). Si ça coince, tu peux me recontacter, de toute façon.

 

Si j'ai bien compris, la désactivation des points de restauration va purger les points de sauvegardes (dont éliminer avec eux les éventuels virus qu'ils contiendraient ?)

C'est ça, c'est pour ça qu'il faut réactiver, pour pouvoir bénéficier à nouveau de la restauration système. Tu peux à l'occasion créer manuellement un point de restauration, pour le coup, si tu veux.

[JumpingJack]

Bonjour Falkra, et désolé pour ce délai à ma réponse

 

Le check GMer a été particulièrement long : démarré vers 20h, il tournait toujours à 3h30 lorsque j'ai eu l'occasion pour la dernière fois de vérifier l'état d'avancement (j'ai laissé le PC allumé cette nuit pour permettre à GMer de terminer son check).

Résultat, le PC avait redémarré le matin ... sans qu'il soit possible d'avoir une trace des résultats des travaux de la nuit :s

 

J'ai donc relancé GMer, en ne cochant que les options Processes, Registry et Services (le check des fichiers est justement le point pénalisant pour le temps de traitement, vu leur nombre)

 

Voici le rapport généré :

GMER 1.0.15.15020 [gmer.exe] - http://www.gmer.net

Rootkit scan 2009-08-16 11:17:27

Windows 5.1.2600 Service Pack 3

 

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 -1577923502

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -1145874151

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -1786258308

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB7 0x9C 0x98 0x2F ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0x5C 0x9A 0x49 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xD3 0x67 0xCE 0x71 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB7 0x9C 0x98 0x2F ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0x5C 0x9A 0x49 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xD3 0x67 0xCE 0x71 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x9B 0xC4 0x74 0xE0 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0x5C 0x9A 0x49 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x88 0x60 0xC3 0x50 ...

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys

 

---- EOF - GMER 1.0.15 ----

 

J'ai par ailleurs procéder à la désactivation de la restauration système, pour la réactiver ensuite après redémarrage.