a.exe

[Corwin°]

Concernant Win32.Small.xta, je n'ai pas trouvé trace de Manager.exe à l'endroit indiqué par ThreatExpert, ni dans la clé mentionnée.

Mais les fichiers qmgr0 et qmgr1 existent bien dans le dossier %CommonAppData%\Microsoft\Network\Downloader.

 

Faut-il les supprimer ?

 

Pour ce qui est des éventuelles modifications de svchost.exe, y a-t-il moyen de vérifier, et de corriger ?

Modifié le 10 novembre 2009 par Corwin°

[pear]

Je ne vous suis pas très bien.

 

Plutôt que risquer de faire des bêtises, pourquoi ne pas utiliser un logiciel comme Maleware(sbytes qui fait cela très bien.

Il ne touchera pas à ce qui est innocent et c'est vous qui supprimerez ou pas ce qu'il aura trouvé.

 

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[Corwin°]

Et bien, c'est qu'en fait, j'ai déjà éxécuté MBAM (mis à jour).

 

C'est d'ailleurs comme ça qu'a commencé toute cette opération sanitaire.

 

Et c'est donc lui qui a supprimé le VBSedit v3.4.1.32 légal, pour y avoir trouvé un trojan. Je ne sais pas, cela dit, d'où venait ce nusible, Kaspersky, lancé à l'instant sur le fichier d'installation situé sur I, n'y ayant rien trouvé de suspect. Pour l'instant je vais essayer de laisser Kaspersky terminer le lecteur H (cela fait trois fois qu'il doit le recommencer à zéro) puis voir si l'on peut entreprendre le scan des deux plus gros supports de mémoires.

 

Merci de votre patience...

[Corwin°]

Voici donc le rapport du H.

Près de 5 heures pour un peu plus de 14 Go occupés. Mias ce support de stockage de masse est assez lent.

Pour le I, ça dépasse les 26 Go. J'ai saucissonné, pour éviter d'avoir à reprendre tout à zéro en cas d'interruption...

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: scan report

Thursday, November 12, 2009

Operating system: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Thursday, November 12, 2009 08:36:34

Records in database: 3194503

--------------------------------------------------------------------------------

 

Scan settings:

scan using the following database: extended

Scan archives: yes

Scan e-mail databases: yes

 

Scan area - Folder:

H:\

 

Scan statistics:

Objects scanned: 221156

Threats found: 3

Infected objects found: 3

Suspicious objects found: 0

Scan duration: 04:52:30

 

 

File name / Threat / Threats count

H:\Archives\Portables\LiberKey\Apps\RegScanner\App\RegScanner\RegScanner.exe Infected: not-a-virus:PSWTool.Win32.ProductKey.ai 1

H:\Archives\Portables\LiberKey\Apps\HFS\App\HFS\hfs.exe Infected: not-a-virus:Server-FTP.Win32.SFH.av 1

H:\Archives\Portables\LiberKey\Apps\DShutdown\App\DShutdown\DShutdown.exe Infected: not-a-virus:RiskTool.Win32.Shutdown.j 1

 

Selected area has been scanned.

[pear]

Bonsoir,

 

Je ne prendrais pas de risque avec le premier.

 

PSWTool.Win32.ProductKey.ai 1

 

http://www.threatexpert.com/report.aspx?md...e05a96a611384c3

Voyez ligne 16 en bas ->Sality.

C'est une horreur!

"Sality est un virus qui se proprage sur votre ordinateur en infectant les fichiers executables (fichiers .exe).

Si vous êtes infecté, ne démarrer que le minimum de programmes afin de limiter la propagation du virus."

 

Pas d'opinion sur les 2 autres.

[Corwin°]

En effet, ça fait peur...

 

Voilà enfin le I (reconstitué)

 

Olivier Ravet ne va pas être content...

 

Y'en a un joli aussi dans First Page 2006...

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: scan report

Thursday, November 12, 2009

Operating system: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Thursday, November 12, 2009 08:36:34

Records in database: 3194503

--------------------------------------------------------------------------------

Scan settings:

scan using the following database: extended

Scan archives: yes

Scan e-mail databases: yes

--------------------------------------------------------------------------------

Scan area - Folder:

I:\Archives\°

 

Scan statistics:

Objects scanned: 684

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 00:01:16

------------------------

Scan area - Folder:

I:\Archives\Freewares

 

Scan statistics:

Objects scanned: 1227

Threats found: 3

Infected objects found: 5

Suspicious objects found: 0

Scan duration: 00:57:56

------------------------

Scan area - Folder:

I:\Archives\Pilotes

 

Scan statistics:

Objects scanned: 10

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 00:00:15

------------------------

Scan area - Folder:

I:\Archives\Raccourcis

 

Scan statistics:

Objects scanned: 28

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 00:00:02

------------------------

Scan area - Folder:

I:\Archives\SÉCURITÉ

 

Scan statistics:

Objects scanned: 6

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 00:00:01

------------------------

Scan area - Folder:

I:\Archives\Softwares

 

Scan statistics:

Objects scanned: 2528

Threats found: 1

Infected objects found: 1

Suspicious objects found: 0

Scan duration: 01:03:46

 

================================================================================

KASPERSKY ONLINE SCANNER 7.0: scan report

Friday, November 13, 2009

Operating system: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Friday, November 13, 2009 09:41:12

Records in database: 3200255

--------------------------------------------------------------------------------

Scan settings:

scan using the following database: extended

Scan archives: yes

Scan e-mail databases: yes

--------------------------------------------------------------------------------

Scan area - Folder:

I:\

 

Scan statistics:

Objects scanned: 5

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 00:00:02

--------------------------------

Scan area - Folder:

I:\Envois

 

Scan statistics:

Objects scanned: 56

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 00:01:46

--------------------------------

Scan area - Folder:

I:\Liens URL

 

Scan statistics:

Objects scanned: 46

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 00:00:04

--------------------------------

Scan area - Folder:

I:\Outils

 

Scan statistics:

Objects scanned: 95

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 00:00:11

--------------------------------

Scan area - Folder:

I:\Archives\ 

 

Scan statistics:

Objects scanned: 16214

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 00:25:23

--------------------------------

Scan area - Folder:

I:\Archives\¨

 

Scan statistics:

Objects scanned: 109414

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 01:37:49

--------------------------------

Scan area - Folder:

I:\Archives\Portables

 

Scan statistics:

Objects scanned: 23280

Threats found: 3

Infected objects found: 3

Suspicious objects found: 0

Scan duration: 01:10:28

--------------------------------

Scan area - Folder:

I:\Archives\Raccourcis

 

Scan statistics:

Objects scanned: 28

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 00:00:02

--------------------------------

Scan area - Folder:

I:\SÉCURITÉ

 

Scan statistics:

Objects scanned: 26

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 00:00:19

 

=====================================================================

File name / Threat / Threats count

 

I:\Archives\Freewares\Sécurité\SetupRevelationV2.exe Infected: not-a-virus:PSWTool.Win32.SnadBoy.2011 2

I:\Archives\Freewares\ Olivier Ravet\FTP.exe Infected: Backdoor.Win32.Bifrose.bhyd 1

I:\Archives\Freewares\Bureautique & texte\fp2006-final-3.00-setup.zip Infected: Hoax.JS.BadJoke.RJump 1

I:\Archives\Freewares\Internet\FTP\FTP.exe Infected: Backdoor.Win32.Bifrose.bhyd 1

I:\Archives\Portables\LiberKey\Apps\RegScanner\App\RegScanner\RegScanner.exe Infected: not-a-virus:PSWTool.Win32.ProductKey.ai 1

I:\Archives\Portables\LiberKey\Apps\DShutdown\App\DShutdown\DShutdown.exe Infected: not-a-virus:RiskTool.Win32.Shutdown.j 1

I:\Archives\Portables\LiberKey\Apps\HFS\App\HFS\hfs.exe Infected: not-a-virus:Server-FTP.Win32.SFH.av 1

I:\Archives\Softwares\Programmation\Adersoft VBSedit\VbsEdit v3.4.1.16 Incl keygen.rar Infected: Trojan.Win32.Small.xta 1

 

Selected area has been scanned.

Modifié le 13 novembre 2009 par Corwin°

[pear]

Bonjour,

 

A vous de jouer.

Vous disposez désormais de tous les éléments.

[Corwin°]

Bonjour,

 

Oui...

 

Tous les éléments...

 

... ou presque, parce qu'il reste encore les 82 giga occupés du lecteur G.

 

 

J'essayerai de faire une synthèse plus concise des rapports...

[Corwin°]

Ouf !

 

Ben voilà !

 

On a dépassé pour G les 10 heures d'analyse, dont près de la moitié pour un seul dossier (G:\Archives\¨) qui contient 312 000 objets et... pas une seule menace.

 

Pas trop de mauvaises surprises... juste un petit nouveau, en bas, dans PowerISO.

 

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: scan report

 Operating system: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

 Kaspersky Online Scanner version: 7.0.26.13

 

 1) Thursday, November 12, 2009

     Database update: Thursday, November 12, 2009 08:36:34

     Records in database: 3194503

 

 2) Friday, November 13, 2009

     Database update: Friday, November 13, 2009 09:41:12

     Records in database: 3200255

 

 3) Saturday, November 14, 2009

     Database update: Saturday, November 14, 2009 06:34:30

     Records in database: 3207250

--------------------------------------------------------------------------------

 

Scan settings:

        scan using the following database: extended

        Scan archives: yes

        Scan e-mail databases: yes

 

Scan area - Folder:

 

1) ----------------------------

G:\

G:\autorun

G:\Documents (émulation)

G:\Program Files (émulation)

G:\System Volume Information

G:\WD Sync Data

G:\WD_Windows_tools

G:\WINDOWS (émulation)

 

2) ----------------------------

G:\Eee PC (DVD)

G:\Sauvegardes

G:\Archives

G:\Archives\ 

G:\Archives\Envois

G:\Archives\Portables

 

3) ----------------------------

G:\Archives\¨

G:\Archives\°

G:\Archives\···

G:\Archives\Freewares

G:\Archives\Pilotes

G:\Archives\Raccourcis

G:\Archives\SÉCURITÉ

G:\Archives\Softwares

G:\Archives\VirtualBox

 

Scan statistics:

Objects scanned: 390325

Threats found: 7

Infected objects found: 11

Suspicious objects found: 0

Scan duration: 10:23:53

 

File name / Threat / Threats count

 

G:\Archives\Freewares\Bureautique & texte\fp2006-final-3.00 (infecté).zip Infected: Hoax.JS.BadJoke.RJump 1

G:\Archives\Freewares\Sécurité\Revelation\SetupRevelationV2.exe Infected: not-a-virus:PSWTool.Win32.SnadBoy.2011 2

G:\Archives\Freewares\Internet\FTP\FTP.exe Infected: Backdoor.Win32.Bifrose.bhyd 1

G:\Archives\Freewares\ Olivier Ravet\FTP.exe Infected: Backdoor.Win32.Bifrose.bhyd 1

G:\Archives\Portables\  Fichiers d'installation\Liberkey\LiberKey_Ultimate_4.3_FR.exe Infected: not-a-virus:RiskTool.Win32.Shutdown.j 1

G:\Archives\Portables\  Fichiers d'installation\Liberkey\LiberKey_Ultimate_4.1_FR.exe Infected: not-a-virus:RiskTool.Win32.Shutdown.j 1

G:\Archives\Portables\  A TESTER\SnadBoy's Revelation v2\Revelation.exe Infected: not-a-virus:PSWTool.Win32.SnadBoy.2011 1

G:\Archives\Portables\  A TESTER\SnadBoy's Revelation v2\RevelationHelper.dll Infected: not-a-virus:PSWTool.Win32.SnadBoy.2011 1

G:\Archives\Softwares\Téléchargement\PowerISO 3.8.WinAll.Retail.Multilanguage.KeyGen\PowerISO38.exe Infected: Email-Worm.Win32.VB.dn 1

G:\Archives\Softwares\Programmation\Adersoft VBSedit\VbsEdit v3.4.1.16 Incl keygen.rar Infected: Trojan.Win32.Small.xta 1

 

Selected area has been scanned