Pb TR/Dropper.Gen et TR/Rootkit.Gen

[Engalère92]

Bonjour,

 

Voilà l'analyse suite à l'utilisation de virus total:

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.05.10 Rootkit.Win32.Agent!IK

AhnLab-V3 2010.05.16.00 2010.05.15 Win-Trojan/Rootkit.802304

AntiVir 8.2.1.242 2010.05.16 TR/Rootkit.Gen

Antiy-AVL 2.0.3.7 2010.05.14 Trojan/Win32.Agent.gen

Authentium 5.2.0.5 2010.05.16 W32/Rootkit.F.gen!Eldorado

Avast 4.8.1351.0 2010.05.16 Win32:Qandr

Avast5 5.0.332.0 2010.05.16 Win32:Qandr

AVG 9.0.0.787 2010.05.16 Rootkit-Agent.EG

BitDefender 7.2 2010.05.17 Rootkit.35232

CAT-QuickHeal 10.00 2010.05.17 Rootkit.Agent.bdov

ClamAV 0.96.0.3-git 2010.05.17 Trojan.Rootkit-2596

Comodo 4859 2010.05.16 TrojWare.Win32.Rootkit.Agent.bdov

DrWeb 5.0.2.03300 2010.05.17 Trojan.NtRootKit.6360

eSafe 7.0.17.0 2010.05.16 Win32.TRRootkit

eTrust-Vet 35.2.7490 2010.05.15 Win32/Bubnix.F

F-Prot 4.5.1.85 2010.05.16 W32/Rootkit.F.gen!Eldorado

F-Secure 9.0.15370.0 2010.05.17 Rootkit.35232

Fortinet 4.1.133.0 2010.05.16 W32/Agent.BDOV!tr.rkit

GData 21 2010.05.17 Rootkit.35232

Ikarus T3.1.1.84.0 2010.05.17 Rootkit.Win32.Agent

Jiangmin 13.0.900 2010.05.16 Rootkit.Agent.gwu

Kaspersky 7.0.0.125 2010.05.17 Rootkit.Win32.Agent.bdov

McAfee 5.400.0.1158 2010.05.17 Generic.dx!ozq

McAfee-GW-Edition 2010.1 2010.05.16 Generic.dx!ozq

Microsoft 1.5703 2010.05.17 Trojan:WinNT/Bubnix.gen!A

NOD32 5119 2010.05.17 Win32/Bubnix.AA

Norman 6.04.12 2010.05.16 Rootkit.BUWH

nProtect 2010-05-16.01 2010.05.16 Trojan/W32.Rootkit.802304

Panda 10.0.2.7 2010.05.16 Trj/Agent.NLU

PCTools 7.0.3.5 2010.05.17 Voronezh.1600.A

Prevx 3.0 2010.05.17 -

Rising 22.48.00.00 2010.05.17 Trojan.Win32.Generic.51FB5BE2

Sophos 4.53.0 2010.05.17 Mal/SysPk-A

Sunbelt 6311 2010.05.17 Trojan.Win32.Generic!BT

Symantec 20101.1.0.89 2010.05.17 Hacktool.Rootkit

TheHacker 6.5.2.0.280 2010.05.14 Trojan/Kryptik.af

TrendMicro 9.120.0.1004 2010.05.17 TROJ_BUBNIX.SMA

TrendMicro-HouseCall 9.120.0.1004 2010.05.17 TROJ_BUBNIX.SMA

VBA32 3.12.12.5 2010.05.14 Rootkit.Win32.Agent.bdov

ViRobot 2010.5.17.2319 2010.05.17 Trojan.Win32.S.RT-Agent.802304

VirusBuster 5.0.27.0 2010.05.16 Rootkit.Agent.TWIV

Information additionnelle

File size: 802304 bytes

MD5...: 1b3e0a85888a07b0717d5c3c151bdc3f

SHA1..: 0d7076e8c085c451a2bdcda4dd36a4e0bff03795

SHA256: 2e200ea7725faf90f8c1da94f8ad9256fe4a511f83ce7f2779f5cc3656bd96f3

ssdeep: 24576:CpXQ3FXgygpDTSye6B/2IkbkJQEXx8dQVBaMSIo:Cpbh+yZ/SbcQ5QVAMW

PEiD..: -

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0xc813d

timedatestamp.....: 0x4b960b10 (Tue Mar 09 08:47:12 2010)

machinetype.......: 0x14c (I386)

 

( 8 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x32f6 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rdata 0x5000 0x3f4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.data 0x6000 0x3e8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

INIT 0x7000 0x736 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.pak0 0x8000 0x3e2 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.pak1 0x9000 0x5eb8c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.pak2 0x68000 0x688d1 0x68a00 7.98 2c2339a26879e2e9fde4845a80203354

.reloc 0xd1000 0x5af30 0x5b000 8.00 39208eeb9ea87322d86cfcda89dc22af

 

( 3 imports )

> ntoskrnl.exe: KeSetEvent, KeReleaseMutex, KeWaitForSingleObject, KeInitializeEvent, KeClearEvent, KeInitializeMutex, ZwClose, ZwLoadDriver, ZwSetValueKey, ZwCreateKey, RtlInitUnicodeString, swprintf, ZwDeleteValueKey, ZwQueryValueKey, ZwOpenKey, wcschr, IofCompleteRequest, ProbeForWrite, ProbeForRead, _except_handler3, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, PsSetCreateProcessNotifyRoutine, wcstombs, ObfReferenceObject, ObfDereferenceObject, IoRegisterBootDriverReinitialization, IoRegisterShutdownNotification, ObReferenceObjectByHandle, ZwOpenFile, IoCreateFile, ZwReadFile, ZwQueryInformationFile, PsTerminateSystemThread, ZwSetInformationFile, ExAllocatePoolWithTag, ExFreePoolWithTag, PsCreateSystemThread, KeDelayExecutionThread, _allmul, PsGetVersion, MmGetSystemRoutineAddress, IoGetRelatedDeviceObject, _wcsnicmp, MmSystemRangeStart, MmIsAddressValid, IoGetInitialStack, ObOpenObjectByName, ZwQuerySystemInformation, ZwAllocateVirtualMemory, ZwFreeVirtualMemory, KeInsertQueueApc, KeInitializeApc, PsIsThreadTerminating, IoIsSystemThread, PsLookupThreadByThreadId, MmUserProbeAddress, ZwQueryInformationProcess, KeUnstackDetachProcess, KeStackAttachProcess, PsLookupProcessByProcessId, RtlFreeUnicodeString, RtlStringFromGUID, ZwCreateEvent, ZwOpenEvent, ExAllocatePool, KeQueryInterruptTime, ZwWriteFile, KeGetCurrentThread

> HAL.dll: KeGetCurrentIrql

> ntoskrnl.exe: IoAllocateMdl, MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, MmUnlockPages, IoFreeMdl, ExAllocatePool, ExFreePool, NtQuerySystemInformation

 

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=1b3e0a85888a07b0717d5c3c151bdc3f' target='_blank'>http://www.threatexpert.com/report.aspx?md5=1b3e0a85888a07b0717d5c3c151bdc3f</a>

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

[Thanos]

salut,

 

ok merci pour le fichier

 

Supprime le fichier suivant manuellement puis vide la corbeille, il ne devrait plus résister => c:\windows\system32\drivers\lafle.sys

 

Après ca, refais un dernier scan avec Antivir:

 

Double-clique sur son icône près de l'horloge: cela ouvre l'interface principale.

Clique ensuite sur "Contrôler syst." à droite de "Dernier contrôle syst. intégral".

/!\ Cela peut être long.

Sauvegarde le rapport en fin de parcours (bouton "Rapport").

 

Si Antivir détecte des fichiers infectés, mets les en quarantaine: choisis "Déplacer en quarantaine" dans la liste des actions.

Tu peux automatiser ce type d'action en cochant la case Appliquer la sélection à toutes les détections.

Cela permet de ne pas rester à la surveiller.

Il est possible qu'Antivir détecte des objets cachés (clés de registre/fichiers): ce ne sont pas forcément des infection, aussi il ne faut rien supprimer par soi-même! poste le rapport et on t'aidera à évaluer la nocivité de ces éléments

 

Poste le rapport stp.

[Engalère92]

Bonjour,

 

J'ai effectivement pu effacer le fichier sans souci. J'ai effectué un scan avec antivir dans la foulée, voici le rapport:

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : lundi 17 mai 2010 19:53

 

La recherche porte sur 2119628 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows Vista

Version de Windows : (plain) [6.0.6000]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : PC-DE-ARNAUD

 

Informations de version :

BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 21/01/2010 21:52:45

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 21:52:44

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 21:52:44

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 21:52:44

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 23:10:26

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 19:17:51

VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 17:28:05

VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 17:28:05

VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 17:28:05

VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 17:28:05

VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 17:28:05

VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 17:28:05

VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 17:28:05

VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 17:28:06

VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 17:28:06

VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 17:08:23

VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 17:08:25

VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 17:11:38

VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 18:34:51

VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 21:12:34

VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 21:12:40

VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 22:08:33

VBASE021.VDF : 7.10.7.51 118272 Bytes 06/05/2010 16:58:45

VBASE022.VDF : 7.10.7.75 404992 Bytes 10/05/2010 19:12:26

VBASE023.VDF : 7.10.7.100 125440 Bytes 13/05/2010 01:07:20

VBASE024.VDF : 7.10.7.101 2048 Bytes 13/05/2010 01:07:20

VBASE025.VDF : 7.10.7.102 2048 Bytes 13/05/2010 01:07:20

VBASE026.VDF : 7.10.7.103 2048 Bytes 13/05/2010 01:07:20

VBASE027.VDF : 7.10.7.104 2048 Bytes 13/05/2010 01:07:20

VBASE028.VDF : 7.10.7.105 2048 Bytes 13/05/2010 01:07:20

VBASE029.VDF : 7.10.7.106 2048 Bytes 13/05/2010 01:07:20

VBASE030.VDF : 7.10.7.107 2048 Bytes 13/05/2010 01:07:20

VBASE031.VDF : 7.10.7.112 76800 Bytes 16/05/2010 04:06:31

Version du moteur : 8.2.1.242

AEVDF.DLL : 8.1.2.0 106868 Bytes 23/04/2010 17:11:46

AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 12/05/2010 22:27:25

AESCN.DLL : 8.1.6.1 127347 Bytes 12/05/2010 22:27:24

AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 17:11:47

AERDL.DLL : 8.1.4.6 541043 Bytes 15/04/2010 17:29:27

AEPACK.DLL : 8.2.1.1 426358 Bytes 23/03/2010 23:23:44

AEOFFICE.DLL : 8.1.1.0 201081 Bytes 12/05/2010 22:27:24

AEHEUR.DLL : 8.1.1.27 2670967 Bytes 06/05/2010 16:58:57

AEHELP.DLL : 8.1.11.3 242039 Bytes 01/04/2010 21:49:34

AEGEN.DLL : 8.1.3.9 377203 Bytes 12/05/2010 22:27:23

AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 17:11:44

AECORE.DLL : 8.1.15.3 192886 Bytes 12/05/2010 22:27:23

AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 17:11:43

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 21/01/2010 21:52:45

AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 18:22:40

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 21/01/2010 21:52:44

RCTEXT.DLL : 9.0.73.0 88321 Bytes 21/01/2010 21:52:44

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:, F:, G:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : lundi 17 mai 2010 19:53

 

La recherche d'objets cachés commence.

'110906' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'TrustedInstaller.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lpksetup.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lpremove.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RacAgent.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPHC_Service.exe' - '1' module(s) sont contrôlés

Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CanalPlayService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HpqToaster.exe' - '1' module(s) sont contrôlés

Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SansaDispatch.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmdSync.exe' - '1' module(s) sont contrôlés

Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winampa.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WiFiMsg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPWAMain.exe' - '1' module(s) sont contrôlés

Processus de recherche 'QLBCTRL.exe' - '1' module(s) sont contrôlés

Processus de recherche 'QPService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'IAAnotif.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sm56hlpr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CLSched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'IAANTmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'aawservice.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'77' processus ont été contrôlés avec '77' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'F:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'G:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '47' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

Recherche débutant dans 'D:\' <HP_RECOVERY>

Recherche débutant dans 'F:\' <Musique et Films>

Recherche débutant dans 'G:\' <Divers>

 

 

Fin de la recherche : lundi 17 mai 2010 21:19

Temps nécessaire: 1:25:46 Heure(s)

 

La recherche a été effectuée intégralement

 

22820 Les répertoires ont été contrôlés

350997 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

350995 Fichiers non infectés

2537 Les archives ont été contrôlées

2 Avertissements

2 Consignes

110906 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

[Engalère92]

Par contre windows defender est toujours en alerte suite à la découverte de PWS:Win32/Daurso.A (dernier scan datant du 16/05 à 1:39)

[Thanos]

salut

 

Peux tu me poster un rapport de Windows Defender ? ou bien me donner le chemin du/des fichier(s) détecté(s) ?

[Engalère92]

Aucun rapport ne semble disponible avec defender. Mais depuis le 16/05 il semble qu'il y ait eu d'autres scans qui eux n'ont rien révélé. Et rien n'a été mis en quarantaine.

Voilà tout ce que je vois sur la page windows defender:

 

Catégorie :

Programme renifleur de mot de passe

 

Description :

Ce programme est dangereux et capture les mots de passe des utilisateurs.

 

Conseil :

Supprimer immédiatement ce logiciel.

 

Ressources :

process:

pid:3256

[Thanos]

ennuyeux car ca m'aurait permis de m 'assurer qu'il ne s'agit pas simplement d'un point de restauration infecté où d'un élément trouvé dans la quarantaine de ComboFix.

Mais depuis le 16/05 il semble qu'il y ait eu d'autres scans qui eux n'ont rien révélé. Et rien n'a été mis en quarantaine.

On va se débarrasser de ces deux "options" comme ceci =>

 

Passe par le Menu Démarrer > Exécuter ( pour cela utilise la combinaison de touches [Touche Windows]+[R]) > et copie/colle ceci >

 

ComboFix /uninstall (il y a un espace entre x et / si tu recopies la commande manuellement)

 

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc et la restauration système sera purgée.

 

Dis moi si, par la suite, les alertes persistent.

[Engalère92]

Merci bien pour tout, le gros problème (rootkit) a disparu et c'est bien là l'essentiel. Je te tiens au courant pour le problème détecté par windows defender.

Pour tout ce qui est rootkit ou problème dans le genre, que puis-je faire pour me prémunir efficacement?

[Thanos]

Pour tout ce qui est rootkit ou problème dans le genre, que puis-je faire pour me prémunir efficacement?

 

Il n'y a pas de logiciel miracle malheureusement Sur mon pc, il y a Antivir et un parefeu autre que celui de Windows (celui qui est intégré à Windows Vista n'est pas mauvais) ainsi que MalwareBytes.

La question que tu dois te poser c'est: comment mon pc a t-il été infecté ? Le rootkit peut avoir été véhiculé via un programme de peer to peer, ou lors de la consultation d'une page web piégée, ou encore si tu utilises des cracks/keygens /serials etc....

il faut juste être prudent sur le net et faire gaffe à ce que tu télécharges.

Quelques liens utiles =>

 

*Article de Ogu sur les fausses idées concernant le peer to peer => (clique sur l'image).

*Article de Malekal concernant les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893