[Résolu] Plus d'antivirus

pear · le 4 février 2010

Bonjour,

Postez le rapport d'antivir que l'on sache ce qu'il trouve et où.

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

il y aura 'un rapport là: %SystemDrive%\rkill.log

donnant la liste de tous les processus arrêtés.

Téléchargez MBAM

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire

Sur Bleeping Computers en Anglais:

Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

Modifié le 4 février 2010 par pear

Franzo · le 5 février 2010

Bonjour,

Partie 1 : rapport Antivir :

Note : le scan bloquait sur C:\System Volume Information\ et F:\System Volume Information et je les ai donc exclus des répertoires à examiner.

MAIS le "Guard" détecte dans ce répertoire :

Dernier fichier infecté:

C:\System Volume Information\_restore{D5889A44-CDAF-4A5B-824B-8E0F4F528AB6}\RP236\A0058477.exe

Dernier logiciel malveillant trouvé :

TR/Agent.577601.A

Avira AntiVir Personal

Date de création du fichier de rapport : vendredi 5 février 2010 00:32

La recherche porte sur 1723870 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : PAPOU

Informations de version :

BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 13:45:14

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 13:45:14

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 13:45:14

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 13:45:14

VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 13:45:14

VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 13:45:14

VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 13:45:14

VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 13:45:14

VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 13:45:14

VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 13:45:14

VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 13:45:14

VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 13:45:14

VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 13:45:14

VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 13:45:14

VBASE014.VDF : 7.10.3.122 172544 Bytes 29/01/2010 13:45:14

VBASE015.VDF : 7.10.3.149 79872 Bytes 01/02/2010 13:45:14

VBASE016.VDF : 7.10.3.174 68608 Bytes 03/02/2010 13:45:14

VBASE017.VDF : 7.10.3.175 2048 Bytes 03/02/2010 13:45:14

VBASE018.VDF : 7.10.3.176 2048 Bytes 03/02/2010 13:45:14

VBASE019.VDF : 7.10.3.177 2048 Bytes 03/02/2010 13:45:14

VBASE020.VDF : 7.10.3.178 2048 Bytes 03/02/2010 13:45:14

VBASE021.VDF : 7.10.3.179 2048 Bytes 03/02/2010 13:45:14

VBASE022.VDF : 7.10.3.180 2048 Bytes 03/02/2010 13:45:14

VBASE023.VDF : 7.10.3.181 2048 Bytes 03/02/2010 13:45:14

VBASE024.VDF : 7.10.3.182 2048 Bytes 03/02/2010 13:45:14

VBASE025.VDF : 7.10.3.183 2048 Bytes 03/02/2010 13:45:14

VBASE026.VDF : 7.10.3.184 2048 Bytes 03/02/2010 13:45:14

VBASE027.VDF : 7.10.3.185 2048 Bytes 03/02/2010 13:45:14

VBASE028.VDF : 7.10.3.186 2048 Bytes 03/02/2010 13:45:14

VBASE029.VDF : 7.10.3.187 2048 Bytes 03/02/2010 13:45:14

VBASE030.VDF : 7.10.3.188 2048 Bytes 03/02/2010 13:45:14

VBASE031.VDF : 7.10.3.190 32768 Bytes 03/02/2010 13:45:14

Version du moteur : 8.2.1.158

AEVDF.DLL : 8.1.1.3 106868 Bytes 03/02/2010 13:45:14

AESCRIPT.DLL : 8.1.3.13 823674 Bytes 03/02/2010 13:45:14

AESCN.DLL : 8.1.4.0 127348 Bytes 03/02/2010 13:45:14

AESBX.DLL : 8.1.1.1 246132 Bytes 03/02/2010 13:45:14

AERDL.DLL : 8.1.3.4 479605 Bytes 03/02/2010 13:45:14

AEPACK.DLL : 8.2.0.5 422262 Bytes 03/02/2010 13:45:14

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 03/02/2010 13:45:14

AEHEUR.DLL : 8.1.1.4 2326899 Bytes 03/02/2010 13:45:14

AEHELP.DLL : 8.1.10.0 237942 Bytes 03/02/2010 13:45:14

AEGEN.DLL : 8.1.1.86 369012 Bytes 03/02/2010 13:45:14

AEEMU.DLL : 8.1.1.0 393587 Bytes 03/02/2010 13:45:14

AECORE.DLL : 8.1.11.1 184694 Bytes 03/02/2010 13:45:14

AEBB.DLL : 8.1.0.3 53618 Bytes 03/02/2010 13:45:12

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26

RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, F:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Fichiers à exclure............................: C:\System Volume Information, F:\System Volume Information,

Catégories de dangers divergentes.............: +JOKE,+PCK,+PFS,

Début de la recherche : vendredi 5 février 2010 00:32

La recherche d'objets cachés commence.

'57032' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés

Processus de recherche 'ProfilerU.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SMax4.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smax4pnp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sqlwriter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sqlservr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'34' processus ont été contrôlés avec '34' modules

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD2

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD3

[iNFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'F:\'

[iNFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '57' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Documents and Settings\$Mon Nom$\Local Settings\Temp\ilb.old

[RESULTAT] Contient le cheval de Troie TR/Spy.Gen2

C:\SDFix\backups\backups.zip

[0] Type d'archive: ZIP

--> backups/braviax.exe

[RESULTAT] Contient le cheval de Troie TR/Fake.ids.11264

--> backups/figaro.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

C:\SDFix\backups\catchme.zip

[0] Type d'archive: ZIP

--> braviax.exe

[RESULTAT] Contient le cheval de Troie TR/Fake.ids.11264

Le répertoire 'C:\System Volume Information\' a été exclu par la recherche !

Recherche débutant dans 'F:\' <Philips External Hard Disk>

Le répertoire 'F:\System Volume Information\' a été exclu par la recherche !

Début de la désinfection :

C:\Documents and Settings\$Mon Nom$\Local Settings\Temp\ilb.old

[RESULTAT] Contient le cheval de Troie TR/Spy.Gen2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bcdc5e6.qua' !

C:\SDFix\backups\backups.zip

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bcec5db.qua' !

C:\SDFix\backups\catchme.zip

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bdfc5db.qua' !

Fin de la recherche : vendredi 5 février 2010 08:15

Temps nécessaire: 2:44:00 Heure(s)

La recherche a été effectuée intégralement

24847 Les répertoires ont été contrôlés

624472 Des fichiers ont été contrôlés

4 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

3 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

624467 Fichiers non infectés

3694 Les archives ont été contrôlées

1 Avertissements

4 Consignes

57032 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

Partie 2 : scan par MBAM : (il ne trouve rien)

Note : l'icône de Antivir n'apparaît pas comme indiqué dans les notes pour désactiver l'antivirus. J'ai donc désactivé le "Guard" via le centre de contrôle..

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3691

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

5/02/2010 9:05:01

mbam-log-2010-02-05 (09-05-00).txt

Type de recherche: Examen rapide

Eléments examinés: 129346

Temps écoulé: 5 minute(s), 40 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):