infection antivirus pro 2010 et security tool

[Emmacello]

Salut Mark,

 

Je reviens un peu tard mais j'étais bien occupée ces deux derniers jours.

J'ai donc fait les mises à jours.

Par contre je vois pas comment il y a pu avoir une installation ou une modif de windows live messenger car je ne l'ai jamais installé sur cet ordinateur. En plus le 15 au soir (donc quelques heures avant l'infection) j'étais avec mon copain et on a fait que regarder des vidéos de concerts sur Youtube. Vers 1h du matin (on était en train de regarder une vidéo de metallica), tout d'un coup , antivirus pro et security tool sont apparus alors qu'on ne touchait même pas à l'ordi. A priori ça correspond donc avec l'installation de windows live messenger qui selon moi s'est faite avec l'arrivée des virus, je vois pas comment ça peut être autrement. Et effectivement ce matin quand j'ai allumé l'ordi y'avait windows messenger dans la barre des tâches au demarrage. J'ai donc tapé msconfig et je l'ai décoché du démarrage. Là j'ai vu qu'il y avait toujours svcst , seres et antivirus pro 2010 mais bien sur décochés. Est ce que c'est normal qu'ils soient encore là? est ce qu'on peut les enlever?

Ensuite est-ce que tous ces problèmes ne viennent pas du fait qu'on ait installé xp alors qu'à la base il y avait vista sur l'ordi?

Merci et à plus tard, je vois que tu as du boulot sur le forum !

[djulie]

Bonsoir,

 

J'ai également les mêmes problèmes entre security tool et antivirus pro 2010...

 

Cette procédure étant longue n'est-il pas plus simple de sauvegarder mes documents sur un disque dur et formater le pc ?

 

Merci,

 

Julie

[Apollo]

Hello Julie,

 

Crée ton propre sujet en cliquant sur le bouton "Nouveau" au-dessus de ces forums stp.

 

Ceci afin d'être plus ordonnés dans les procédures justement

 

Merci.

 

@++

[Mark]

Salut Emma

 

D'après les rapports, je vois l'installation de l'infection vers les 4 heures, dans la nuit du 16 (et Windows Live). Impossible pour moi de voir exactement comment ça a débuté. Pour ce qui est du clip de Metallica sur YouTube : je n'ai jamais entendu parler d'un clip infecté chez eux. Un rogue (faux programme) tel Antivirus Pro 2010 s'installe après avoir cliqué sur une fenêtre ou lien qui t'informe (souvent en anglais) que ton ordi est infecté (ce qui est faux) et ensuite l'infection s'installe. Le trojan responsable s'introduit (avant les fausses alertes) via des sites piégés ou bien des faux codecs, généralement. Difficile à suivre tout ça car les vecteurs d'infection changent régulièrement. Quelqu'un a donc cliqué sur quelque chose ou a visité un site piégé... Quel pourrait être le lien avec Windows Live Messenger alors ? Le programme a été lancé (confirmé dans les rapports) et "quelqu'un" a peut-être ouvert une pièce jointe ou cliqué sur un lien piégé dans un message.

 

Pour l'installation de XP : ça date de quand ? Normalement, changer de Vista à XP ne pose aucun problème, sauf pour des incompatibilités de pilotes parfois. Vista est un peu mieux sécurisé à la base que XP par contre..

 

Les trois éléments de l'infection désactivés via msconfig : pas de soucis, les fichiers et dossiers associés ont été détruits, donc il ne s'agissait que de restes dans la base de registre. Rien de dangereux de ce côté, mais on va faire le ménage : télécharge le fichier du lien suivant (sur Senduit) et sauvegarde-le sur ton Bureau :

http://senduit.com/3d388b

 

> Double-clique sur le fichier (Fix.reg), permets son exécution et accepte la fusion avec le registre.

> Au prochain redémarrage de l'ordi, les trois entrées auront disparu via msconfig.

 

L'ordi va toujours bien ?

 

À bientôt,

 

Mark

[Emmacello]

Salut Mark,

 

ben en fait il y a des choses bizarres sur l'ordi. Hier quand je l'ai allumé y'avait un message de microsoft qui disait que y'avait une erreur sérieuse sur l'ordi, ça m'a proposé d'envoyer le rapport d'erreurs ce que j'ai accepté.

Autre chose, dans la barre http, les caractères sont comme effacés, on les voit mais ils sont plus clairs, et il y a seulement le nom du site qui est écrit en gras (enfin en normal). Là par exemple c'est écrit : http:/forum. en très clair puis zebulon.fr en normal puis tout ce qui suit encore en très clair, et c'est comme ça pour tous les sites.

Ensuite la boite mail de mon copain a été attaqué par des dizaines de mails postmaster, le genre de mail que tu reçois normalement quand on écrit à une adresse qui n'existe pas mais là il y en a plein. Et aujourd'hui j'ai reçu 2 mails provenant de sa boite avec comme objet "ebay rw" et "ebay 2q" et je l'ai ouvert (c'est tres con) et il me dit que c'est pas lui qui les a envoyé. Donc j'ai fait un scan avec antivir et il a trouvé 9 objets positifs. Voici le rapport:

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : dimanche 25 octobre 2009 15:13

 

La recherche porte sur 1817547 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : NOM-44ED5C81B08

 

Informations de version :

BUILD.DAT : 9.0.0.70 18071 Bytes 25/09/2009 12:03:00

AVSCAN.EXE : 9.0.3.7 466689 Bytes 28/09/2009 17:18:14

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 09:53:11

ANTIVIR2.VDF : 7.1.6.112 4833792 Bytes 15/10/2009 22:45:58

ANTIVIR3.VDF : 7.1.6.145 272896 Bytes 23/10/2009 18:36:44

Version du moteur : 8.2.1.44

AEVDF.DLL : 8.1.1.2 106867 Bytes 28/09/2009 17:18:14

AESCRIPT.DLL : 8.1.2.40 487804 Bytes 23/10/2009 18:36:48

AESCN.DLL : 8.1.2.5 127346 Bytes 28/09/2009 17:18:14

AERDL.DLL : 8.1.3.2 479604 Bytes 07/10/2009 13:20:32

AEPACK.DLL : 8.2.0.2 422263 Bytes 23/10/2009 18:36:46

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 07/07/2009 09:53:26

AEHEUR.DLL : 8.1.0.167 2011511 Bytes 12/10/2009 22:39:57

AEHELP.DLL : 8.1.7.0 237940 Bytes 28/09/2009 17:18:14

AEGEN.DLL : 8.1.1.68 364918 Bytes 20/10/2009 23:01:57

AEEMU.DLL : 8.1.1.0 393587 Bytes 07/10/2009 13:20:10

AECORE.DLL : 8.1.8.1 184693 Bytes 28/09/2009 17:18:14

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 28/09/2009 17:18:14

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 28/09/2009 17:18:14

RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: réparer

Action secondaire.............................: renommer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : dimanche 25 octobre 2009 15:13

 

La recherche d'objets cachés commence.

'45311' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TosBtHSP.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TosBtHid.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TosA2dp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés

Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TosBtMng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CardDetector.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MGSysCtrl.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AGRSMMSG.exe' - '1' module(s) sont contrôlés

Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés

Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés

Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TosBtSrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MSIService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'43' processus ont été contrôlés avec '43' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '63' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <OS_Install>

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\91319528\91319528.exe.vir

[RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.G.45

C:\Qoobox\Quarantine\C\Documents and Settings\Emma\restorer64_a.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Dldr.Mutant.fsg

C:\Qoobox\Quarantine\C\Documents and Settings\Emma\Application Data\lizkavd.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Dldr.FakeRean.AE

C:\Qoobox\Quarantine\C\Documents and Settings\Emma\Application Data\seres.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Vilsel.iug

C:\Qoobox\Quarantine\C\Documents and Settings\Emma\Application Data\svcst.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Vilsel.iug

C:\Qoobox\Quarantine\C\Documents and Settings\Emma\Menu Démarrer\Programmes\Démarrage\ikowin32.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Agent2.cjzk

C:\Qoobox\Quarantine\C\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Agent.AH.23

C:\Qoobox\Quarantine\C\Program Files\AntivirusPro_2010\Uninstall.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Dldr.FakeRean.AE

C:\Qoobox\Quarantine\C\WINDOWS\system32\restorer64_a.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Dldr.Mutant.fsg

Recherche débutant dans 'D:\' <Data>

 

 

Fin de la recherche : dimanche 25 octobre 2009 15:29

Temps nécessaire: 16:50 Minute(s)

 

La recherche a été effectuée intégralement

 

3966 Les répertoires ont été contrôlés

189978 Des fichiers ont été contrôlés

9 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

189967 Fichiers non infectés

7639 Les archives ont été contrôlées

2 Avertissements

2 Consignes

45311 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

[Emmacello]

Par contre je voulais mettre les 9 objets en quarantaine mais je sais plus comment on fait. Antivir avait fini l'analyse et j'ai cliqué sur rapport (que je t'ai envoyé) et aprés j'ai cliqué sur "terminé" (y'avait pas d'autres choix) et la fenêtre s'est fermée, du coup les objets infectés sont toujours là.

[Mark]

Bonjour Emma

 

Ne t'en fais pas pour ces détections d'AntiVir : il s'agit de fichiers dans la quarantaine de ComboFix. Mea culpa car je ne te l'ai pas (encore) fait désinstaller. Aucun danger, tout est au frais.

 

Pour ce qui est des mails sur l'ordi de ton copain : c'est son ordi qui semble être infecté. Ça expliquerait aussi les deux mails que tu as reçus (l'infection prend son carnet d'adresses / liste de contacts et leur envoie des mails piégés). Il devra donc passer quelques outils : Malwarebytes' en premier, ça pourrait tout régler, et lui mettre AntiVir si ce n'est déjà fait, sinon il devra venir sur le forum

 

Pour les URLs dans la barre : c'est sous FireFox ? Si oui, quel thème utilises-tu ? Je vais regarder ça, mais ça ne m'a pas l'air méchant.

 

@toute

 

Mark

[Emmacello]

Hello Mark,

 

Je te remercie pour ta réponse. J'ai fait ce que tu m'as dit pour supprimer les entrées dans le registre. Sinon effectivement tu as raison en ce qui concerne l'infection, à un moment il est apparu une fenêtre " your computer is infected" pendant qu'on regardait youtube,j'ai cliqué dessus et tout a commencé. J'ai compris juste aprés que j'avais fait une bêtise mais aprés je sais pas comment j'ai attrapé le trojant puisque ça passe par l'un d'eux apparemment.Pour windows messenger je sais toujours pas..

Sinon je n'ai pas firefox. J'ai internet explorer 8 mais je préfererais avoir firefox. La différence d'écriture dans l'url a changé depuis qu'on a fait le ménage,ça me gène pas vraiment mais c'est assez étrange. Mais cet ordi est assez étrange quand même. par ex quand j'envoie un mail (je suis sur yahoo), ça ne me dit pas que je l'ai envoyé, ça revient comme à la page précédente avec l'adresse mail de la personne mais sans l'objet ni le texte. J'ai vérifié plusieurs fois avec mon autre ordi, j'ai bien une page avec confirmation de l'envoi.

J'ai du mal à faire copier/coller aussi sur cet ordi.

Enfin sinon il est super.

A bientôt

[Mark]

Bonjour Emma

 

On ne pourra malheureusement retrouver le moment précis du début de cette infection ; il faudrait des données qui sont impossibles à retracer, surtout via un forum.

 

Intéressant pour la fenêtre d'alerte "Your computer is infected" (ou semblable) par contre, car ça confirme la présence d'un trojan. Lorsque ces alertes apparaissent, une première infection est déjà installée. Soit il y a eu téléchargement de "quelque chose" (fichier infecté, faux codec, etc...) ou soit il y a eu visite sur un site piégé qui installe l'infection en sourdine, et ensuite les fausses alertes commencent. Pour ce qui est de YouTube : ça m'étonnerait que la source soit là ; juste avant d'y aller, probablement...

 

Pour Windows Live Messenger : je n'ai pas la réponse. Cependant, l'infection (probable) sur la machine de ton copain peut laisser croire qu'il y a un lien avec ta machine ; si l'infection chez toi a causé l'envoi de messages piégés via Messenger (possible et fréquent), ça aurait pu infecter la machine de ton copain, s'il a reçu et ouvert un message venant "de toi" (pas vraiment de toi, mais de ton Messenger, à ton insu). As-tu reçu des commentaires de tes autres contacts à ce sujet ?

 

Et finalement, la barre d'adresses dans IE8 : j'aurais dû y penser avant, mais je n'utilise jamais IE alors je n'avais pas vérifié... Voici ce que je vois, chez moi :

Semblable chez toi ? Si oui, c'est normal

 

Comment se comporte la machine de ton copain ? As-tu passé Malwarebytes' Anti-Malware dessus ?

 

@+

 

Mark

[Emmacello]

Salut Mark,

 

Je ne me suis pas encore occupée de l'ordi de mon copain mais je vais m'y atteler ce soir car il n'a pas d'antivirus (il avait acheté bit defender mais ne l'a jamais configuré et je crois qu'il est dépassé maintenant) donc tu m'étonnes , il doit etre blindé de cochonneries lol ! Je lui ferai passer mbam aussi.

En ce qui concerne les messages piégés de windows messenger, je n'ai pas demandé à mes contacts car ma boîte mail est sur yahoo et ça fait au moins 6 mois que je ne suis pas allée sur msn (je n'y suis jamais allée sur cet ordi). J'ai essayé d'y aller ce matin là avec l'autre ordi et j'ai pas réussi à me connecter car je me souviens plus de mon mot de passe (j'avais mis des chiffres), je vais le retrouver car je l'avais noté quelque part et je préviendrai mes contacts. Mais je vois pas comment mon nouvel ordi a pu envoyer des messages piégés alors que j'ai jamais ouvert hotmail. C'est peut etre mon chéri qui l'a utilisé et qui me le dit pas.

En tout cas j'espère que le site piégé c'est pas ebay parce que j'ai acheté un violon et j'espère que c'est pas un violon en carton gggggggggggrrrr!!!

 

Et pour la barre d'adresse OUi c'est bien ça , je suis rassurée que ce soit normal.

 

Bon je crois que tout est bon. Je voulais te demander une dernière chose: j'ai gardé tout ce que tu m'avais demandé de mettre sur le bureau lors de la désinfection, est ce que je peux tout enlever?

A+ bon boulot sur le forum, c'est génial d'aider les autres comme ça, je vous admire beaucoup les helpers!