Analyse rapport hijackthis - Antivirus bloqués

[charle]

Voilà après désinfection;

 

Malwarebytes' Anti-Malware 1.42

Version de la base de données: 3414

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

23/12/2009 18:35:32

mbam-log-2009-12-23 (18-35-32).txt

 

Type de recherche: Examen complet (C:\|E:\|F:\|)

Eléments examinés: 468279

Temps écoulé: 2 hour(s), 4 minute(s), 44 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 9

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\SDFix\dummy.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\SDFix\apps\dummy.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP0\A0007002.sys (Malware.Packer) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP0\A0007003.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP0\A0007004.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP0\A0007074.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTrlnsdjkllt.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTtuvouapabd.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\H8SRTalbabwuteh.sys.vir (Malware.Packer) -> Quarantined and deleted successfully.

[Thanos]

salut

 

Ok, on va continuer comme ceci: on installe un antivirus car il n'y a rien qui protège ton pc!

 

1°) Passe par le Menu Démarrer > Exécuter ( pour cela utilise la combinaison de touches [Touche Windows]+[R]) > et copie/colle ceci >

 

ComboFix /uninstall (il ya un espace entre x et / si tu recopies la commande manuellement)

 

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

 

2°) Télécharge Antivir sur le bureau, et installe le programme.

 

Mets Antivir à jour et configure le en suivant les indications du Tutoriel vidéo d'angelique

(les réglages sont identiques même si la la version décrite est en anglais).

 

Si tu as besoin de faire un scan du pc avec Antivir, voilà ce qu'il faudra faire >>

 

Double-clique sur son icône près de l'horloge: cela ouvre l'interface principale.

Clique ensuite sur "Contrôler syst." à droite de "Dernier contrôle syst. intégral".

/!\ Cela peut être long.

Tu peux sauvegarder le rapport en fin de parcours (bouton "Rapport").

 

Si Antivir détecte des fichiers infectés, mets les en quarantaine: choisis "Déplacer en quarantaine" dans la liste des actions.

Tu peux automatiser ce type d'action en cochant la case Appliquer la sélection à toutes les détections.

Cela permet de ne pas rester à la surveiller.

 

Poste le rapport d'Antivir stp.

[charle]

Bonjour,

Après scan Antivir:

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : jeudi 24 décembre 2009 13:41

 

La recherche porte sur 1473402 souches de virus.

 

Détenteur de la licence :Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows :(Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur :CHARLES

 

Informations de version :

BUILD.DAT : 8.2.0.62 17752 Bytes 23/10/2009 13:16:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27

ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 12:23:02

ANTIVIR1.VDF : 7.10.1.11 1395568 Bytes 19/11/2009 12:23:06

ANTIVIR2.VDF : 7.10.2.42 1191840 Bytes 21/12/2009 12:23:08

ANTIVIR3.VDF : 7.10.2.60 187392 Bytes 24/12/2009 12:23:09

Version du moteur: 8.2.1.122

AEVDF.DLL : 8.1.1.2 106867 Bytes 24/12/2009 12:23:19

AESCRIPT.DLL : 8.1.3.4 586105 Bytes 24/12/2009 12:23:18

AESCN.DLL : 8.1.3.0 127348 Bytes 24/12/2009 12:23:17

AESBX.DLL : 8.1.1.1 246132 Bytes 24/12/2009 12:23:16

AERDL.DLL : 8.1.3.4 479605 Bytes 24/12/2009 12:23:16

AEPACK.DLL : 8.2.0.3 422261 Bytes 24/12/2009 12:23:15

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 24/12/2009 12:23:14

AEHEUR.DLL : 8.1.0.189 2195833 Bytes 24/12/2009 12:23:13

AEHELP.DLL : 8.1.9.0 237943 Bytes 24/12/2009 12:23:11

AEGEN.DLL : 8.1.1.82 369014 Bytes 24/12/2009 12:23:11

AEEMU.DLL : 8.1.1.0 393587 Bytes 24/12/2009 12:23:10

AECORE.DLL : 8.1.9.1 180598 Bytes 24/12/2009 12:23:10

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58

AVREP.DLL : 8.0.0.3 155688 Bytes 24/12/2009 12:23:09

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: C:\Program Files\Avira\AntiVir PersonalEdition Classic\sysscan.avp

Documentation....................: bas

Action principale................: interactif

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: marche

Fichier mode de recherche........: Tous les fichiers

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Début de la recherche : jeudi 24 décembre 2009 13:41

 

La recherche d'objets cachés commence.

'164540' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wampserver.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LOGI_MWX.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Apache.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MsPMSPSv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mysqld-nt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Apache.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SMAgent.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sqlservr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'41' processus ont été contrôlés avec '41' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '49' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Reboot.exe

[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b95641d.qua' !

C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\restart.exe

[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ba6641d.qua' !

C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFix.zip

[0] Type d'archive: ZIP

--> SmitfraudFix/Reboot.exe

[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F

--> SmitfraudFix/restart.exe

[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b9c6427.qua' !

C:\RECYCLER\S-1-5-21-3716824744-3083217688-2470962028-500\Dc1.exe

[0] Type d'archive: RAR SFX (self extracting)

--> SmitfraudFix\Reboot.exe

[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F

--> SmitfraudFix\restart.exe

[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6471ed.qua' !

C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP1\A0007122.sys

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6371c4.qua' !

C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP1\A0007123.sys

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ae2658d.qua' !

C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP2\A0007313.exe

[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6371cc.qua' !

C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP2\A0007314.exe

[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6371cd.qua' !

C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP2\A0007315.exe

[0] Type d'archive: RAR SFX (self extracting)

--> SmitfraudFix\Reboot.exe

[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F

--> SmitfraudFix\restart.exe

[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ae26586.qua' !

 

 

Fin de la recherche : jeudi 24 décembre 2009 15:03

Temps nécessaire: 1:22:01 Heure(s)

 

La recherche a été effectuée intégralement

 

15173 Les répertoires ont été contrôlés

609623 Des fichiers ont été contrôlés

12 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

9 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

609609 Fichiers non infectés

9788 Les archives ont été contrôlées

2 Avertissements

9 Consignes

164540 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

 

*******************************************************

 

Merci pour votre aide,

En vous souhaitant un joyeux Noël.

[charle]

Bonjour et meilleurs voeux,

 

Thanos, est-ce que l'ordi est clean maintenant?

 

Merci.

[Thanos]

salut

 

Bonne année charle ....et désolé d'avoir zappé ton sujet!

 

Le rapport d'Antivir est bon.

On va faire un dernier scan pour voir si tout va bien (un scan très rapide!) >>

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

Modifié le 11 janvier 2010 par Thanos