Analyse HijackThis suite à une infection importante [Résolu]

[Thanos]

Merci pour le fichier _OTM.rar: celui ci est bon

 

ok on va terminer comme ceci >>

 

Supprime le fichier _OTM.zip ainsi que le dossier _OTM.exe qui se trouvent tout deux dans le répertoire C:\

 

On va scanner de nouveau ton pc avec Antivir, mais après mise à jour cette fois ci puisque tu as accès à internet à présent (important car un antivirus qui n'est pas à jour va laisser passer des menaces).

 

Procède ainsi >>

 

Mets Antivir à jour et configure le en suivant les indications du Tutoriel vidéo d'angelique

(les réglages sont identiques même si la la version décrite est en anglais).

 

Fais un scan du pc avec Antivir comme ceci >>

 

Double-clique sur son icône près de l'horloge: cela ouvre l'interface principale.

Clique ensuite sur "Contrôler syst." à droite de "Dernier contrôle syst. intégral".

/!\ Cela peut être long.

Tu peux sauvegarder le rapport en fin de parcours (bouton "Rapport").

 

Si Antivir détecte des fichiers infectés, mets les en quarantaine: choisis "Déplacer en quarantaine" dans la liste des actions.

Tu peux automatiser ce type d'action en cochant la case Appliquer la sélection à toutes les détections.

Cela permet de ne pas rester à la surveiller.

 

Ensuite met un vrai parefeu sur ce pc car celui intégré à Windows est une passoire! >>

Je vois qu'il y a des restes de Zone Alarm sur le pc. Soit la désinstallation s'est mal passée, soit le programme a été détruit par un malware.

On va tenter de nettoyer les restes proprement avant réinstallation: Si ca ne fonctionne pas comme ca, on utilisera un script avec OTM.

 

Rends toi dans ce dossier >> C:\Program Files\Zone Labs\ZoneAlarm\

Repère le fichier nommé zauninst.exe

Fais un double clic dessus et suis les informations qui s'affichent. Il va certainement falloir redémarrer le pc après ca.

 

Une fois le pc redémarré, installe le parefeu de nouveau >>

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Ok pour le fichier is-RQG47.exe qui ne présente pas d'infection visiblement.

[Ewee]

Ok merci, je fais ça alors, je poste le rapport d'Antivir ou c'est inutile?

 

Et les fichiers mis en quarantaine, je les supprime par la suite, ou bien j'attends de voir desquels il s'agit, ou encore je les laisse en quarantaine?

 

En tout cas merci =D

Modifié le 10 novembre 2009 par Ewee

[Thanos]

Oui c'est important de poster le rapport Certains fichiers infectés reviennent parfois et il faut que je vois si c'est le cas ou pas et si Antivir est bien parvenu à supprimer les menaces.

Et les fichiers mis en quarantaine, je les supprime par la suite, ou bien j'attends de voir desquels il s'agit, ou encore je les laisse en quarantaine?

Laisse les fichiers en quarantaine: on ne la vide qu'en toute fin de désinfection. Tant qu'ils sont en quarantaine, ils sont inoffensifs

[Ewee]

Ca marche, je poste tout ça pour demain, une fois le tout terminé alors

 

Bonne soirée. Merci.

Modifié le 10 novembre 2009 par Ewee

[Ewee]

Alors le rapport:

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : mardi 10 novembre 2009 22:36

 

La recherche porte sur 1879367 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : R2D2

 

Informations de version :

BUILD.DAT : 9.0.0.70 18071 Bytes 25/09/2009 12:03:00

AVSCAN.EXE : 9.0.3.7 466689 Bytes 10/11/2009 12:20:58

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 12:30:36

ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 12:20:58

ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28/10/2009 12:20:58

ANTIVIR3.VDF : 7.1.6.212 440320 Bytes 10/11/2009 12:20:58

Version du moteur : 8.2.1.61

AEVDF.DLL : 8.1.1.2 106867 Bytes 10/11/2009 12:20:58

AESCRIPT.DLL : 8.1.2.44 586107 Bytes 10/11/2009 12:20:58

AESCN.DLL : 8.1.2.5 127346 Bytes 10/11/2009 12:20:58

AERDL.DLL : 8.1.3.2 479604 Bytes 10/11/2009 12:20:58

AEPACK.DLL : 8.2.0.3 422261 Bytes 10/11/2009 12:20:58

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 10/11/2009 12:20:58

AEHEUR.DLL : 8.1.0.180 2093432 Bytes 10/11/2009 12:20:58

AEHELP.DLL : 8.1.7.0 237940 Bytes 10/11/2009 12:20:58

AEGEN.DLL : 8.1.1.71 364916 Bytes 10/11/2009 12:20:58

AEEMU.DLL : 8.1.1.0 393587 Bytes 10/11/2009 12:20:58

AECORE.DLL : 8.1.8.2 184694 Bytes 10/11/2009 12:20:58

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 10/11/2009 12:20:58

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 14:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 10/11/2009 12:20:57

RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 10:07:05

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, Q:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Recherche optimisée...........................: marche

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

 

Début de la recherche : mardi 10 novembre 2009 22:36

 

La recherche d'objets cachés commence.

'40430' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AAWTray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'steelvinemanager .exe' - '1' module(s) sont contrôlés

Processus de recherche 'steelvinemanager.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Module infecté -> 'C:\WINDOWS\system32\svchost.exe'

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GSvr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Module infecté -> 'C:\WINDOWS\system32\svchost.exe'

Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SteelVine.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'issch.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'steelvinemanager.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AAWService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Module infecté -> 'C:\WINDOWS\system32\svchost.exe'

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Module infecté -> 'C:\WINDOWS\System32\svchost.exe'

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Module infecté -> 'C:\WINDOWS\system32\svchost.exe'

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Module infecté -> 'C:\WINDOWS\system32\svchost.exe'

Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Module infecté -> 'C:\WINDOWS\system32\lsass.exe'

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Module infecté -> 'C:\WINDOWS\system32\services.exe'

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Module infecté -> 'C:\WINDOWS\system32\winlogon.exe'

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

 

'42' processus ont été contrôlés avec '42' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'Q:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

 

Le registre a été contrôlé ( '50' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Documents and Settings\Administrateur\rthdcpl .exe

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.20

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b61dd7e.qua' !

C:\Documents and Settings\Administrateur\rundll32.exe bthprops .exe

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.20

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b67dd7f.qua' !

C:\Documents and Settings\Administrateur\Bureau\rthdcpl.exe

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.20

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b61dd98.qua' !

C:\Documents and Settings\Administrateur\Bureau\rundll32.exe bthprops.cpl,,bluetoothauthenticationagent

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.20

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b67dd9a.qua' !

C:\Documents and Settings\Administrateur\Bureau\_OTM.rar

[0] Type d'archive: RAR

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4ddd75.qua' !

--> _OTM\MovedFiles\11102009_172802\C_WINDOWS\system32\mcen.exe

[RESULTAT] Contient le cheval de Troie TR/Scar.aljm

C:\Documents and Settings\Administrateur\Bureau\_OTM.zip

[0] Type d'archive: 7-Zip

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4ddd76.qua' !

--> _OTM/MovedFiles/11102009_172802/C_WINDOWS/system32/mcen.exe

[RESULTAT] Contient le cheval de Troie TR/Scar.aljm

C:\Program Files\Adobe\acrotray .exe

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.6

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6bdea6.qua' !

C:\Program Files\Silicon Image\57xx SteelVine\steelvinemanager.exe122

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.20

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b5ee0c0.qua' !

C:\RECYCLER\S-1-5-21-1292428093-1677128483-682003330-500\Dc1\_OTM\MovedFiles\11102009_172802\C_WINDOWS\system32\mcen.exe

[RESULTAT] Contient le cheval de Troie TR/Scar.aljm

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b5ee114.qua' !

C:\RECYCLER\S-1-5-21-1292428093-1677128483-682003330-500\Dc2\_OTM\MovedFiles\11102009_172802\C_WINDOWS\system32\mcen.exe

[RESULTAT] Contient le cheval de Troie TR/Scar.aljm

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b5ee116.qua' !

C:\RECYCLER\S-1-5-21-1292428093-1677128483-682003330-500\Dc3\MovedFiles\11102009_172802\C_WINDOWS\system32\mcen.exe

[RESULTAT] Contient le cheval de Troie TR/Scar.aljm

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b5ee118.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP367\A0021429.exe

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.20

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b29e134.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP368\A0021970.exe

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.20

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b29e14b.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP368\A0046352.EXE

[0] Type d'archive: RAR SFX (self extracting)

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b29e163.qua' !

--> nircmd.exe

[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.2

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP369\A0047729.exe

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.20

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b29e16e.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP369\A0047730.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f818d7f.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP369\A0047731.exe

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f54673f.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP369\A0047732.sys

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e69956f.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP369\A0047737.exe

[RESULTAT] Contient le cheval de Troie TR/Scar.aljm

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f60bf57.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP370\A0048791.exe

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.20

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b29e16f.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP370\A0048792.exe

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.20

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f628cb8.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP370\A0048793.exe

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.20

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f818d60.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP370\A0048794.exe

[RESULTAT] Contient le cheval de Troie TR/Agent.ANVH.6

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b29e171.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP370\A0048795.exe

[RESULTAT] Contient le cheval de Troie TR/Scar.aljm

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f818d62.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP370\A0048796.exe

[RESULTAT] Contient le cheval de Troie TR/Scar.aljm

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fa7e3a0.qua' !

C:\System Volume Information\_restore{F4F476CD-6FD1-4EA7-B93A-0A19F4BAB4BD}\RP370\A0048797.exe

[RESULTAT] Contient le cheval de Troie TR/Scar.aljm

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48fef098.qua' !

C:\WINDOWS\system32\lsass.exe

[RESULTAT] Contient le cheval de Troie TR/Patched.Gen

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003

[AVERTISSEMENT] Impossible de supprimer le fichier !

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48b885f6.qua' !

C:\WINDOWS\system32\services.exe

[RESULTAT] Contient le cheval de Troie TR/Patched.Gen

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003

[AVERTISSEMENT] Impossible de supprimer le fichier !

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fe4e8ee.qua' !

C:\WINDOWS\system32\svchost.exe

[RESULTAT] Contient le cheval de Troie TR/Patched.Gen

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003

[AVERTISSEMENT] Impossible de supprimer le fichier !

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fd3e814.qua' !

C:\WINDOWS\system32\winlogon.exe

[RESULTAT] Contient le cheval de Troie TR/Patched.Gen

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003

[AVERTISSEMENT] Impossible de supprimer le fichier !

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f07e1d4.qua' !

C:\WINDOWS\system32\drivers\sptd.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

Recherche débutant dans 'Q:\'

Q:\Jeux\Le Seigneur des Anneaux\la bataille pour la terre du milieu 2 crack no cd up by stevenshacker(2).rar

[0] Type d'archive: RAR

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b19e2da.qua' !

--> la bataille pour la terre du milieu 2 crack no cd up by stevenshacker\crack 1.1.rar

[1] Type d'archive: RAR

--> game.dat

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

--> la bataille pour la terre du milieu 2 crack no cd up by stevenshacker\crack 1.6.rar

[1] Type d'archive: RAR

--> DEViANCE\game.dat

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

Q:\Jeux\Le Seigneur des Anneaux\la bataille pour la terre du milieu 2 crack no cd up by stevenshacker\crack 1.1.rar

[0] Type d'archive: RAR

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b5ae2f4.qua' !

--> game.dat

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

Q:\Jeux\Le Seigneur des Anneaux\la bataille pour la terre du milieu 2 crack no cd up by stevenshacker\crack 1.6.rar

[0] Type d'archive: RAR

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b5ae2fa.qua' !

--> DEViANCE\game.dat

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

 

 

Fin de la recherche : mardi 10 novembre 2009 23:00

Temps nécessaire: 24:30 Minute(s)

 

La recherche a été effectuée intégralement

 

10715 Les répertoires ont été contrôlés

316319 Des fichiers ont été contrôlés

43 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

33 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

316274 Fichiers non infectés

6635 Les archives ont été contrôlées

6 Avertissements

34 Consignes

40430 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

 

 

 

Mais Dans Zonelabs il n'y avait pas cette application, j'ai donc supprimé totalement le dossier, mais en voulant réinstaller le pare-feu j'ai ce message récurrent:

"L'ordinal 703 est introuvable dans la bibliothèque de liaisons dynamique ssleay31.dll"

Puis il m'a mis impossible de se connecter pour configurer, puis il n'a pas pu finir.

 

Voilà.

[Thanos]

re!

 

On a bien fait de passe Antivir à jour...l'infection a patché (infecté) un certain nombre de fichiers légitimes de Windows.

 

On va utiliser un programme afin de restaurer une bonne version de ces fichiers >>

 

WinFileReplace de Loup Blanc

 

Télécharge WinFileReplace de Loup Blanc sur ton Bureau.

• Ferme tous les programmes et double-clique sur l'icône WinFileReplace sur ton Bureau.
  
• Appuie sur la touche F puis sur Entrée pour mettre le programme en Français.
  
• Le Bloc-Note (lst.txt) va s'ouvrir.
  
• Copie-colle dedans (sans le mot CITATION) :
  

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\winlogon.exe

• Ferme le Bloc-Note et enregistre les changements en cliquant sur "Oui"
  
• Sois patient, le service pack correspondant à ton système va être alors téléchargé. Cela peut prendre plusieurs minutes.
  
• Accepte le contrat d'utilisateur de Microsoft en cliquant sur le bouton "J'accepte"
  
• Confirme la restauration du/des fichiers en appuyant sur la touche O et Entrée
  
• Il va t'être demandé de redémarrer ton PC, pour cela, appuie sur la touche O puis sur Entrée.
  
• Au redémarrage du PC un rapport va s'ouvrir, sauvegarde le sur ton Bureau pour le retrouver facilement.
  

**********

 

Très important: tu vois cette détection fait par Antivir Ewee ? >>

Q:\Jeux\Le Seigneur des Anneaux\la bataille pour la terre du milieu 2 crack no cd up by stevenshacker(2).rar

[0] Type d'archive: RAR

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b19e2da.qua' !

--> la bataille pour la terre du milieu 2 crack no cd up by stevenshacker\crack 1.1.rar

[1] Type d'archive: RAR

--> game.dat

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

--> la bataille pour la terre du milieu 2 crack no cd up by stevenshacker\crack 1.6.rar

[1] Type d'archive: RAR

--> DEViANCE\game.dat

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

Q:\Jeux\Le Seigneur des Anneaux\la bataille pour la terre du milieu 2 crack no cd up by stevenshacker\crack 1.1.rar

[0] Type d'archive: RAR

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b5ae2f4.qua' !

--> game.dat

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

Q:\Jeux\Le Seigneur des Anneaux\la bataille pour la terre du milieu 2 crack no cd up by stevenshacker\crack 1.6.rar

[0] Type d'archive: RAR

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b5ae2fa.qua' !

--> DEViANCE\game.dat

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

Ce qui suit n'est pas pour faire la morale, mais vise plutôt à te faire prendre conscience des risques liés à l'utilisation des cracks/Keygen/serials et des logiciels P2P!! Pour t'en convaincre, lis ces topics très clairs:

 

*Article de Malekal concernant les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893

*Article de Ogu sur les fausses idées concernant le peer to peer => (clique sur l'image).

 

Les infections véhiculées pas le peer to peer sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir... est ce que ca vaut le coup de risquer une grosse infection(et mettre tes données en peril)? La plupart des logiciels payants ont un équivalent en freeware.

 

A des fins d'analyse de virus/malwares, nous téléchargeons de nombreux cracks: il se trouve que ce sont quasiment tous des malwares. Aussi fais vraiment attention car rien n'est vraiment gratuit sur la toile!

Modifié le 11 novembre 2009 par Thanos

[Ewee]

Alors voilà le rapport de remplacement:

 

 

WinFileReplace - ver : 1.1.0 - by Loup blanc

 

---------------------------

Microsoft Windows XP

Service Pack 3

Fran‡ais

---------------------------

Contrôle du fichier téléchargé :

MD5 recherchée : a9a9a86e7330bffaf64ae2acfb73d959

sp3.000 MD5 : a9a9a86e7330bffaf64ae2acfb73d959

---------------------------

 

============ Comparaison des fichiers avant remplacement ============

 

---------

Les fichiers

"C:\WINDOWS\system32\svchost.exe" MD5 : e4bdf223cd75478bf44567b4d5c2634d

et

"C:\FR-files\svchost.exe" MD5 : e4bdf223cd75478bf44567b4d5c2634d

sont identiques...

-----------

 

Les fichiers

"C:\WINDOWS\system32\services.exe" MD5 : 54cb50058851d95e56ec70d09f70857f

et

"C:\FR-files\services.exe" MD5 : 54cb50058851d95e56ec70d09f70857f

sont identiques...

-----------

 

Les fichiers

"C:\WINDOWS\system32\lsass.exe" MD5 : 91e6024d6d4dcdecdb36c43ecf9bbecb

et

"C:\FR-files\lsass.exe" MD5 : 91e6024d6d4dcdecdb36c43ecf9bbecb

sont identiques...

-----------

 

Les fichiers

"C:\WINDOWS\system32\winlogon.exe" MD5 : dd73d6b9f6b4cb630cf35b438b540174

et

"C:\FR-files\winlogon.exe" MD5 : dd73d6b9f6b4cb630cf35b438b540174

sont identiques...

-----------

 

 

============ Comparaison des fichiers après remplacement ============

 

-----------

Les fichiers

"C:\WINDOWS\system32\svchost.exe" MD5 : e4bdf223cd75478bf44567b4d5c2634d

et

"C:\FR-files\svchost.exe" MD5 : e4bdf223cd75478bf44567b4d5c2634d

sont identiques...

 

"C:\WINDOWS\system32\svchost.backup" présent...

 

Remplacement réussi

-----------

 

Les fichiers

"C:\WINDOWS\system32\services.exe" MD5 : 54cb50058851d95e56ec70d09f70857f

et

"C:\FR-files\services.exe" MD5 : 54cb50058851d95e56ec70d09f70857f

sont identiques...

 

"C:\WINDOWS\system32\services.backup" présent...

 

Remplacement réussi

-----------

 

Les fichiers

"C:\WINDOWS\system32\lsass.exe" MD5 : 91e6024d6d4dcdecdb36c43ecf9bbecb

et

"C:\FR-files\lsass.exe" MD5 : 91e6024d6d4dcdecdb36c43ecf9bbecb

sont identiques...

 

"C:\WINDOWS\system32\lsass.backup" présent...

 

Remplacement réussi

-----------

 

Les fichiers

"C:\WINDOWS\system32\winlogon.exe" MD5 : dd73d6b9f6b4cb630cf35b438b540174

et

"C:\FR-files\winlogon.exe" MD5 : dd73d6b9f6b4cb630cf35b438b540174

sont identiques...

 

"C:\WINDOWS\system32\winlogon.backup" présent...

 

Remplacement réussi

-----------

 

======= Fin du rapport =======

 

 

Par contre j'ai toujours la fenêtre vsmon.exe ordinal introuvable qui s'ouvre, et quand je fais ok elle se relance toujours...

De quoi cela vient-il?

[Thanos]

salut

 

Ok les fichiers semblent avoir la bonne version à présent.

 

Quand tu peux, refais un scan avec Antivir: il ne devrait plus rien trouver.

 

Je regarde pour cette erreur avec Zone alarm et te poste une procédure

[Ewee]

Ok, je lance Antivir pendant de ce temps

Je poste le rapport d'ici peu.

[Thanos]

Bon on va utiliser OTM pour supprimer les fichiers liés à Zone Alarm.

 

• Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :first
  
  :files
  C:\WINDOWS\system32\xraidsetup.exe boot
  C:\WINDOWS\system32\vswmi.dll
  C:\WINDOWS\system32\vsmonapi.dll
  C:\WINDOWS\system32\ZoneLabs
  C:\Program Files\Zone Labs
  C:\WINDOWS\system32\vsxml.dll
  C:\WINDOWS\system32\vspubapi.dll
  C:\WINDOWS\system32\vsutil.dll
  C:\WINDOWS\system32\vsinit.dll
  C:\WINDOWS\system32\vsdata.dll
  C:\WINDOWS\Start Menu\Programs\ZoneLabs
  C:\WINDOWS\SYSTEM32\Vsdata95.vxd
  C:\WINDOWS\SYSTEM32\vsdatant.sys
  C:\WINDOWS\SYSTEM32\zllictbl.dat
  C:\WINDOWS\SYSTEM32\zlparser.dll
  C:\WINDOWS\SYSTEM32\ZoneLabs\Migrate.dll
  
  :reg
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Zone Labs]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\vsmon]
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vsmon]
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSDATANT]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VSDATANT]
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSMON]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VSMON]
  [-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsmon]
  [-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsdatant]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vsmon]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vsdatant]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm]
  [-HKEY_CURRENT_USER\Software\Zone Labs]
  
  :commands
  [emptytemp]
  [start explorer]

  
  

• Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée puis choisis Coller.
  
• Clique sur le bouton rouge
  
• Ferme OTM
  
• Poste dans ta prochaine réponse le rapport de OTM (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

 

Redémarre ton pc et retente l'installation de Zone Alarm.

Modifié le 11 novembre 2009 par Thanos