Virus-Trojan ? "ihaupd32.exe"

[sonymegabass]

Bonjour à tous et merci d'avance pour votre attention.

Depuis 3 semaines je suis régulièrement infecté par des virus de type Trojan.

J'ai déjà réinstallé deux fois Windows XP SP2 (la dernière fois ce dimanche), mais depuis hier je suis à nouveau infecté, avec le même rapport d'erreur "ihaupd32.exe" (haupd32.exe a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.)

Comment je pourrai définitivement m'en débarrasser ?

Est-ce possible que si l'ordinateur de ma colocataire est infecté il puisse m'infecté via la freebox ?

A noter que j'ai encore la main sur mon PC, je ne l'ai toujours pas redémarrer car plus je le redémarre plus le virus bloque le PC.

Merci

[sonymegabass]

Je vous rajoute un "system scan only" de Hijackthis, j'ai vu que vous vous en serviez.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:19:30, on 04/03/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\WLTRAY.exe

C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ihaupd32.exe

C:\WINDOWS\system32\dwwin.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\WINDOWS\system32\rundll32.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\System32\WLTRAY.exe

O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: ihaupd32.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\program files\idt\xpm09_6047v002\wdm\STacSV.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

[Apollo]

Bonsoir,

 

Ca ressemble à Koobface ça mais il y a peut-être aussi du Rootkit qui se planque.

 

1) Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
   
  Double-clique ATF-Cleaner.exe afin de lancer le programme.
  --> Sous Vista/Seven: Clic droit/exécuter en temps qu'administrateur.
   
  Sous l'onglet Main, choisis : Select All
  Cliquer sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

-----------------------------------

2) Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Poste également un nouveau log Hijackthis stp.

 

@++

[sonymegabass]

J'ai eu un peu de mal, mon disque dur externe a fait planter le 1er scan Malware et ensuite en redémarrant j'ai eu du mal à reprendre la main.

Bref, voici le scan Malware:

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3825

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

04/03/2010 20:43:01

mbam-log-2010-03-04 (20-43-01).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 135818

Temps écoulé: 16 minute(s), 58 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\_VOID (Rootkit.TDSS) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\Administrateur\Application Data\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.

C:\Program Files\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.

C:\Documents and Settings\Administrateur\csrss.exe (Trojan.Agent) -> Delete on reboot.

 

 

Et voici le scan Hijackthis fait après:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:02:33, on 04/03/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\System32\WLTRAY.exe

C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\System32\WLTRAY.exe

O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\program files\idt\xpm09_6047v002\wdm\STacSV.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

 

--

End of file - 3793 bytes

 

Merci

[Apollo]

Re,

 

Cela ne m'étonne qu'à moitié avec ce qu'il y a sur ta machine (rogue + TDSS).

 

On va s'assurer que tout cela est bien liquidé, une toute nouvelle version de TDSSKiller est sortie aujourd'hui-même chez Kaspersky.

 

Télécharge TDSS Killer de Kaspersky. http://senduit.com/2a813c

 

Enregistrer sur le bureau. (et pas ailleurs).

 

 

Va dans Démarrer/exécuter (ou touches Windows et R) et copie/colle le contenu du cadre ci-dessous:

 

"%userprofile%\bureau\TDSSKiller.exe" -l TDSSlog.txt -v

 

A la fin de l'exécution, appuie sur une touche comme demandé pour fermer la fenêtre.

Un fichier TDSSlog.txt va apparaitre sur ton bureau.

Ouvre le et poste l'intégralité de son contenu dans ta prochaine réponse.

 

NB: Si l'outil demande un reboot, accepte en tapant Y (yes).

D'ailleurs, applique tout ce qu'il propose.

 

@++

[sonymegabass]

Voici:

 

21:28:52:515 3712 TDSS rootkit removing tool 2.2.7.1 Feb 27 2010 13:29:25

21:28:52:515 3712 ================================================================================

21:28:52:515 3712 SystemInfo:

 

21:28:52:515 3712 OS Version: 5.1.2600 ServicePack: 2.0

21:28:52:515 3712 Product type: Workstation

21:28:52:515 3712 ComputerName: BRETAGNE

21:28:52:515 3712 UserName: Administrateur

21:28:52:515 3712 Windows directory: C:\WINDOWS

21:28:52:515 3712 Processor architecture: Intel x86

21:28:52:515 3712 Number of processors: 2

21:28:52:515 3712 Page size: 0x1000

21:28:52:515 3712 Boot type: Normal boot

21:28:52:515 3712 ================================================================================

21:28:52:515 3712 UnloadDriverW: NtUnloadDriver error 2

21:28:52:515 3712 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2

21:28:52:562 3712 Initialize success

21:28:52:562 3712

21:28:52:562 3712 Scanning Services ...

21:28:52:562 3712 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system

21:28:52:562 3712 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

21:28:52:562 3712 wfopen_ex: Trying to KLMD file open

21:28:52:562 3712 wfopen_ex: File opened ok (Flags 2)

21:28:52:562 3712 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software

21:28:52:562 3712 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

21:28:52:562 3712 wfopen_ex: Trying to KLMD file open

21:28:52:562 3712 wfopen_ex: File opened ok (Flags 2)

21:28:53:000 3712 GetAdvancedServicesInfo: Raw services enum returned 265 services

21:28:53:000 3712 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system

21:28:53:000 3712 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software

21:28:53:000 3712

21:28:53:000 3712 Scanning Kernel memory ...

21:28:53:000 3712 Devices to scan: 3

21:28:53:000 3712

21:28:53:000 3712 Driver Name: Disk

21:28:53:000 3712 IRP_MJ_CREATE : BA91EC30

21:28:53:000 3712 IRP_MJ_CREATE_NAMED_PIPE : 804F4282

21:28:53:000 3712 IRP_MJ_CLOSE : BA91EC30

21:28:53:000 3712 IRP_MJ_READ : BA918D9B

21:28:53:000 3712 IRP_MJ_WRITE : BA918D9B

21:28:53:000 3712 IRP_MJ_QUERY_INFORMATION : 804F4282

21:28:53:000 3712 IRP_MJ_SET_INFORMATION : 804F4282

21:28:53:000 3712 IRP_MJ_QUERY_EA : 804F4282

21:28:53:000 3712 IRP_MJ_SET_EA : 804F4282

21:28:53:000 3712 IRP_MJ_FLUSH_BUFFERS : BA919366

21:28:53:000 3712 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4282

21:28:53:000 3712 IRP_MJ_SET_VOLUME_INFORMATION : 804F4282

21:28:53:000 3712 IRP_MJ_DIRECTORY_CONTROL : 804F4282

21:28:53:000 3712 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4282

21:28:53:000 3712 IRP_MJ_DEVICE_CONTROL : BA91944D

21:28:53:000 3712 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA91CFC3

21:28:53:000 3712 IRP_MJ_SHUTDOWN : BA919366

21:28:53:000 3712 IRP_MJ_LOCK_CONTROL : 804F4282

21:28:53:000 3712 IRP_MJ_CLEANUP : 804F4282

21:28:53:000 3712 IRP_MJ_CREATE_MAILSLOT : 804F4282

21:28:53:000 3712 IRP_MJ_QUERY_SECURITY : 804F4282

21:28:53:000 3712 IRP_MJ_SET_SECURITY : 804F4282

21:28:53:000 3712 IRP_MJ_POWER : BA91AEF3

21:28:53:000 3712 IRP_MJ_SYSTEM_CONTROL : BA91FA24

21:28:53:000 3712 IRP_MJ_DEVICE_CHANGE : 804F4282

21:28:53:000 3712 IRP_MJ_QUERY_QUOTA : 804F4282

21:28:53:000 3712 IRP_MJ_SET_QUOTA : 804F4282

21:28:53:000 3712 TDL3_StartIoLastChanceHookDetect: Unable to dump StartIo handler code

21:28:53:000 3712 sion

21:28:53:015 3712 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean

21:28:53:015 3712

21:28:53:015 3712 Driver Name: Disk

21:28:53:015 3712 IRP_MJ_CREATE : BA91EC30

21:28:53:015 3712 IRP_MJ_CREATE_NAMED_PIPE : 804F4282

21:28:53:015 3712 IRP_MJ_CLOSE : BA91EC30

21:28:53:015 3712 IRP_MJ_READ : BA918D9B

21:28:53:015 3712 IRP_MJ_WRITE : BA918D9B

21:28:53:015 3712 IRP_MJ_QUERY_INFORMATION : 804F4282

21:28:53:015 3712 IRP_MJ_SET_INFORMATION : 804F4282

21:28:53:015 3712 IRP_MJ_QUERY_EA : 804F4282

21:28:53:015 3712 IRP_MJ_SET_EA : 804F4282

21:28:53:015 3712 IRP_MJ_FLUSH_BUFFERS : BA919366

21:28:53:015 3712 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4282

21:28:53:015 3712 IRP_MJ_SET_VOLUME_INFORMATION : 804F4282

21:28:53:015 3712 IRP_MJ_DIRECTORY_CONTROL : 804F4282

21:28:53:015 3712 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4282

21:28:53:015 3712 IRP_MJ_DEVICE_CONTROL : BA91944D

21:28:53:015 3712 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA91CFC3

21:28:53:015 3712 IRP_MJ_SHUTDOWN : BA919366

21:28:53:015 3712 IRP_MJ_LOCK_CONTROL : 804F4282

21:28:53:015 3712 IRP_MJ_CLEANUP : 804F4282

21:28:53:015 3712 IRP_MJ_CREATE_MAILSLOT : 804F4282

21:28:53:015 3712 IRP_MJ_QUERY_SECURITY : 804F4282

21:28:53:015 3712 IRP_MJ_SET_SECURITY : 804F4282

21:28:53:015 3712 IRP_MJ_POWER : BA91AEF3

21:28:53:015 3712 IRP_MJ_SYSTEM_CONTROL : BA91FA24

21:28:53:015 3712 IRP_MJ_DEVICE_CHANGE : 804F4282

21:28:53:015 3712 IRP_MJ_QUERY_QUOTA : 804F4282

21:28:53:015 3712 IRP_MJ_SET_QUOTA : 804F4282

21:28:53:015 3712 TDL3_StartIoLastChanceHookDetect: Unable to dump StartIo handler code

21:28:53:015 3712 sion

21:28:53:015 3712 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean

21:28:53:015 3712

21:28:53:015 3712 Driver Name: atapi

21:28:53:015 3712 IRP_MJ_CREATE : BA714572

21:28:53:015 3712 IRP_MJ_CREATE_NAMED_PIPE : 804F4282

21:28:53:015 3712 IRP_MJ_CLOSE : BA714572

21:28:53:015 3712 IRP_MJ_READ : 804F4282

21:28:53:015 3712 IRP_MJ_WRITE : 804F4282

21:28:53:015 3712 IRP_MJ_QUERY_INFORMATION : 804F4282

21:28:53:015 3712 IRP_MJ_SET_INFORMATION : 804F4282

21:28:53:015 3712 IRP_MJ_QUERY_EA : 804F4282

21:28:53:015 3712 IRP_MJ_SET_EA : 804F4282

21:28:53:015 3712 IRP_MJ_FLUSH_BUFFERS : 804F4282

21:28:53:015 3712 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4282

21:28:53:015 3712 IRP_MJ_SET_VOLUME_INFORMATION : 804F4282

21:28:53:015 3712 IRP_MJ_DIRECTORY_CONTROL : 804F4282

21:28:53:015 3712 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4282

21:28:53:015 3712 IRP_MJ_DEVICE_CONTROL : BA714592

21:28:53:015 3712 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA7107B4

21:28:53:015 3712 IRP_MJ_SHUTDOWN : 804F4282

21:28:53:015 3712 IRP_MJ_LOCK_CONTROL : 804F4282

21:28:53:015 3712 IRP_MJ_CLEANUP : 804F4282

21:28:53:015 3712 IRP_MJ_CREATE_MAILSLOT : 804F4282

21:28:53:015 3712 IRP_MJ_QUERY_SECURITY : 804F4282

21:28:53:015 3712 IRP_MJ_SET_SECURITY : 804F4282

21:28:53:015 3712 IRP_MJ_POWER : BA7145BC

21:28:53:015 3712 IRP_MJ_SYSTEM_CONTROL : BA71B164

21:28:53:015 3712 IRP_MJ_DEVICE_CHANGE : 804F4282

21:28:53:015 3712 IRP_MJ_QUERY_QUOTA : 804F4282

21:28:53:015 3712 IRP_MJ_SET_QUOTA : 804F4282

21:28:53:031 3712 siohd: 0

21:28:53:031 3712 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: Clean

21:28:53:031 3712

21:28:53:031 3712 Completed

21:28:53:031 3712

21:28:53:031 3712 Results:

21:28:53:031 3712 Memory objects infected / cured / cured on reboot: 0 / 0 / 0

21:28:53:031 3712 Registry objects infected / cured / cured on reboot: 0 / 0 / 0

21:28:53:031 3712 File objects infected / cured / cured on reboot: 0 / 0 / 0

21:28:53:031 3712

21:28:53:703 3712 KLMD(ARK) unloaded successfully

 

Merci

[Apollo]

Parfait

 

Tu peux mettre l'outil et son log à la corbeille car il évolue tout le temps.

 

Ton antivirus est Avast.

 

Avast n'est pas sûr en ce moment. Il tarde à mettre à jour sa base virale et laisse passer beaucoup de choses. Résultats: Ton PC est plus vunérable aux nouvelles menaces.

 

Je pense qu'il serait mieux protégé avec Antivir.

 

Antivir est un antivirus gratuit, efficace et léger, maintenant en français, dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection).

 

 

• Si tu es d'accord pour changer, désinstalle Avast par Ajout/Suppression de programmes
  
• Redémarre le PC pour achever la désinstallation
  
• Télécharge installe et paramètre Antivir comme indiqué sur cette page: Télécharger, installer, configurer Antivir (version française)
  

 

PS: Quand un fichier infecté est détecté par Antivir, une fenêtre semblable à celle-ci s'ouvre:

 

 

Antivir te demande ce qu'il doit faire du fichier infecté.

Choisis Déplacer en quarantaine puis clique sur OK.

 

Tu peux automatiser ce type d'action en cochant une case), comme ci dessous :

 

Cela permet de ne pas rester à la surveiller.

 

Mets-le à jour puis lance une analyse complète.

Poste le rapport obtenu stp.

 

@++

[sonymegabass]

Le virus est toujours la. J'ai du me connecter sur une autre machine pour ecrire ce message.

Apres avoir desinstaller Avast, j ai du redemarrer. J'avais auparavant telecharger Antivir.

Donc lors du redemarrage tjrs les memes symptomes, et lorsque j'ai tente d'installe Antivir, j'ai eu un message d'erreur windows: "Des fichiers d'installation sont corrompus. Telecharger une nouvelle copie et retentez l'installation."

Une fois cette fenetre d'erreur fermee, on voit dans Antivir: "Echec CRC dans basic\vbase000.vd".

Je devrai pouvoir reprendre la main sur mon PC bientot. Je retelecharge Antivir et le reinstalle ?

[Apollo]

Re,

 

Tu n'aurais pas été victime d'une infection Virut récemment?

 

Dans l'affirmative, par qui est-ce que cela été traîté?

 

On va faire autre chose mais j'attends d'abord ta réponse.

 

@++

[sonymegabass]

Re,

 

Tu n'aurais pas été victime d'une infection Virut récemment?

 

Dans l'affirmative, par qui est-ce que cela été traîté?

 

On va faire autre chose mais j'attends d'abord ta réponse.

 

@++

J'ai repris le contrôle sur ma machine. Et Antivir est entrain de scanner, j'ai finalement télécharger le fichier ZIP et ça marche.

Pour l'infection Virut, honnêtement je ne sais pas, mais ce qui est sûr c'est que j'ai formater mon PC dimanche dernier (réinstallation de XP avec boot CD). Que je l'avais fait il y a 2 semaines aussi, donc c'est possible que ce soit un Virut, mais je ne m'y connais pas trop.

Je poste le rapport Antivir dès que je l'ai.