Rapport de scan Avast : fichier non scannés

[catmo0105]

merci, je vais donc suivre votre conseil et garder antivir (et malwarebytes ???)

 

que pensez-vous de ceci ?

dans le journal d' événements généré au démarrage d' antivir dans guard

Dans le fichier 'C:\Windows\Temp\_avast5_\unp77583346.tmp'

un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.

Action exécutée : Autoriser l'accès

Dans le fichier 'C:\Windows\Temp\_avast5_\unp3707463.tmp'

un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.

Action exécutée : Autoriser l'accès

 

je suis allée voir à l' emplacement des fichiers après redémarrage : vide !

 

dans le dernier rapport de scan effectué il y a qq minutes

La recherche d'objets cachés commence.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{00020D75-0000-0000-C000-000000000046}\ShellFolder\attributes

[REMARQUE] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\381b4222-f694-41f0-9685-ff5bb260df2e

[REMARQUE] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Media Center\Settings\VideoSettings\recordingkeepuntil

[REMARQUE] L'entrée d'enregistrement n'est pas visible.

 

La recherche a été effectuée intégralement

 

24703 Les répertoires ont été contrôlés

301533 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de scanner des fichiers

301533 Fichiers non infectés

1682 Les archives ont été contrôlées

0 Avertissements

0 Consignes

941233 Des objets ont été contrôlés lors du Rootkitscan

3 Des objets cachés ont été trouvés

[pear]

Bonsoir,

 

Nettoyez les fichiers temporaires:

 

Téléchargez TFC par OldTimer sur votre Bureau

Faites un double clic sur TFC.exe pour le lancer.

Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur

L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.

Cliquez sur le bouton Start pour lancer le processus.

Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.

Laissez le programme s'exécuter sans l'interrompre.

Lorsqu'il aura terminé, l'outil devrait faire redémarrer votre systèmepour parachever le nettoyage..

S'il ne le faisait pas,faites redémarrer manuellement le PC

[catmo0105]

Bonjour,

 

j' ai suivi votre conseil et installé TFC puis lancé l' analyse, puis redémarré l' ordi puis lancé Malwarebytes qui donne un rapport clean.

Et ensuite, j' ai refait une analyse avec Antivir et là, surprise 189 objets cachés.

Encore une fois, pourquoi ? et est-ce embêtant ? je n' ai pas de manifestations bizarres sur le PC et j' aimerais comprendre une bonne fois à quoi ça correspond et savoir si je dois faire d' autres manip afin d' assurer une sécurité optimale ou non

Je n' arrive pas à afficher le fichier du rapport : pouvez-vous m' indiquer le chemin d' accès ?

Merci encore pour votre aide.

[pear]

Bonjour,

 

Télécharger gmer

clic sur "Download EXE" et télécharger le fichier sur le bureau.

 

Désactiver les protection (antivirus, antispyware etc) et fermer tous les programmes ouverts.

Double-clic sur le fichier GMER téléchargé.

Une fois lancé, clic droit sur le fond blanc et clic sur "Only Non MS files"

Clic en bas à droite sur le bouton "Scan" pour lancer le scan.

 

 

Lorsque le scan est terminé, clic sur "Copy"

 

Ouvrez le bloc-note et clic sur le Menu Edition / Coller

Le rapport doit alors apparaître.

Enregistrer le fichier sur le bureau et copier/coller le contenu.

Modifié le 4 novembre 2010 par pear

[catmo0105]

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 25/10/10 à 11:40

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TEAM X SCRIPT : UsbFix - AD-Remover - FindyKill

 

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 15:19:32 le 04/11/2010, Mode normal

 

Microsoft Windows 7 Édition Familiale Premium (X64)

Compte surf@CATETFRED (HP-Pavilion VS241AA-ABF p6242fr)

 

============== RECHERCHE ==============

 

 

Dossier trouvé: C:\Program Files (x86)\AskBarDis

 

Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{E00AA1C5-FE5C-4FB2-BCB9-EB34E1C17DCB}

 

 

============== SCAN ADDITIONNEL ==============

 

** Internet Explorer Version [8.0.7600.16385] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_FR&c=94&bd=Pavilion&pf=cndt

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\Windows\system32\blank.htm

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Show_ToolBar: yes

Start Page: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_FR&c=94&bd=Pavilion&pf=cndt

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

AutoHide: yes

Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_FR&c=94&bd=Pavilion&pf=cndt

Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Delete_Temp_Files_On_Exit: yes

Local Page: C:\Windows\SysWOW64\blank.htm

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Start Page: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_FR&c=94&bd=Pavilion&pf=cndt

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

 

C:\Ad-Report-SCAN[1].txt - 04/11/2010 (1958 Octet(s))

 

Fin à: 15:20:28, 04/11/2010

[catmo0105]

Rapport d' Ad-remover après nettoyage

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 25/10/10 à 11:40

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TEAM X SCRIPT : UsbFix - AD-Remover - FindyKill

 

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:31:18 le 04/11/2010, Mode normal

 

Microsoft Windows 7 Édition Familiale Premium (X64)

Compte surf@CATETFRED (HP-Pavilion VS241AA-ABF p6242fr)

 

============== ACTION(S) ==============

 

 

Dossier supprimé: C:\Program Files (x86)\AskBarDis

 

(!) -- Fichiers temporaires supprimés.

 

 

Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{E00AA1C5-FE5C-4FB2-BCB9-EB34E1C17DCB}

 

 

============== SCAN ADDITIONNEL ==============

 

** Internet Explorer Version [8.0.7600.16385] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\Windows\system32\blank.htm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

AutoHide: yes

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: C:\Windows\SysWOW64\blank.htm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 04/11/2010 (1958 Octet(s))

C:\Ad-Report-SCAN[1].txt - 04/11/2010 (2087 Octet(s))

 

Fin à: 16:32:20, 04/11/2010

 

============== E.O.F ==============

[pear]

Oui, c'est bien, mais c'est Gmer que j'attendais.

[catmo0105]

ça va arriver, je n' ai pas pu m' occuper de tout ça comme je le souhaitais, j' ai aussi quelques enfants !

[catmo0105]

j' ai désactivé antivir mais quand j' essaie de lancer le scan GMER, il plante . Il y a qq chose d' autre à désactiver ? malwarebytes n' est pas ouvert ? là, je sèche et je me sens démunie ! désolée pour ce contre-temps...je réssaie

[pear]

Il peut arriver que GMER plante sans raison apparente.

Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;

si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

 

 

En cas de nouvel échec:

 

Recherche de rootkit

Téléchargez RootRepeal

Désactiver les modules résidents:l'antivirus,antispyware ,Parefeu

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections

Vous devez avoir les droits Administrateur

 

Installez RootRepeal , cliquez sur *Settings->Options*

Onglet "Général Cochez->Only suspicious ..

. [Driver scan] ... [Files scan] ... [Processes scan] ... [sSDT scan] (v. 1.1.0)

aucune raison de changer les paramètres standards.

 

Dans le [ File Scan ] l'option [X] [ Check for file size differences ] est celle qui permet la détection des fichiers dont la taille a été modifiée comme le fait par exemple le rootkit "Rustock.C". Il est donc fortement conseillé de ne pas la désactiver.

 

Dans le [ SSDT scan ], l'option [X] [ Check for hooked SYSENTER/INT 2E ] permet le scan des appels au système par SYSENTER ou INT 2E.

 

Choix des scans (boutons de sélection en bas, à gauche).

 

Chaque option comporte deux boutons [ Scan ] pour lancer l'analyse et [ Save Report ]qui permet d'enregistrer le rapport au format « .txt » dans le répertoire choisi (éventuellement dans le répertoire de démarrage de RootRepeal).

 

[ Report ]permet d'enchaîner plusieurs ou toutes les fonctions précédentes.

Cliquez [select scan]

Dans la fenêtre qui s'ouvre, sélectionner les options à exécuter(Cochez tout).

 

Un choix des partitions du disque est possible dans la fenêtre [select drives].

Cliquez sur Save Report

Lancez le scan,

Si RootRepeal ne trouve rien , il affichera ceci:

 

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/08/04 18:47

Program Version: Version 1.3.2.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xEB27E000 Size: 49152 File Visible: No Signed: -

Status: -

==EOF==

 

Cliquez Save reports , cliquez sur Bureau et nommez le fichier root.txt

 

Il peut arriver que GMER plante sans raison apparente.

Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;

si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

 

 

En cas de nouvel échec:

 

Recherche de rootkit

Téléchargez RootRepeal

Désactiver les modules résidents:l'antivirus,antispyware ,Parefeu

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections

Vous devez avoir les droits Administrateur

 

Installez RootRepeal , cliquez sur *Settings->Options*

Onglet "Général Cochez->Only suspicious ..

. [Driver scan] ... [Files scan] ... [Processes scan] ... [sSDT scan] (v. 1.1.0)

aucune raison de changer les paramètres standards.

 

Dans le [ File Scan ] l'option [X] [ Check for file size differences ] est celle qui permet la détection des fichiers dont la taille a été modifiée comme le fait par exemple le rootkit "Rustock.C". Il est donc fortement conseillé de ne pas la désactiver.

 

Dans le [ SSDT scan ], l'option [X] [ Check for hooked SYSENTER/INT 2E ] permet le scan des appels au système par SYSENTER ou INT 2E.

 

Choix des scans (boutons de sélection en bas, à gauche).

 

Chaque option comporte deux boutons [ Scan ] pour lancer l'analyse et [ Save Report ]qui permet d'enregistrer le rapport au format « .txt » dans le répertoire choisi (éventuellement dans le répertoire de démarrage de RootRepeal).

 

[ Report ]permet d'enchaîner plusieurs ou toutes les fonctions précédentes.

Cliquez [select scan]

Dans la fenêtre qui s'ouvre, sélectionner les options à exécuter(Cochez tout).

 

Un choix des partitions du disque est possible dans la fenêtre [select drives].

Cliquez sur Save Report

Lancez le scan,

Si RootRepeal ne trouve rien , il affichera ceci:

 

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/08/04 18:47

Program Version: Version 1.3.2.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xEB27E000 Size: 49152 File Visible: No Signed: -

Status: -

==EOF==

 

Cliquez Save reports , cliquez sur Bureau et nommez le fichier root.txt