Heuristics.Shuriken

[ero-sennin]

Bonjour alors voila pour zhpfix

Rapport de ZHPFix 1.12.3328 par Nicolas Coolman, Update du 26/06/2011

Fichier d'export Registre :

Run by Administrateur at 27/06/2011 07:37:18

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

ERREUR Key**: Service: AMService

SUPPRIME Key: Service Legacy: LEGACY_AMSERVICE

ERREUR Key**: HKLM\SYSTEM\CurrentControlSet\Services\AMService

 

========== Valeur(s) du Registre ==========

SUPPRIME RunValue: AMService

SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe

ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe

 

========== Dossier(s) ==========

SUPPRIME Temporaires Windows: : 5

SUPPRIME Flash Cookies: 1

 

========== Fichier(s) ==========

ABSENT File: c:\windows\temp\wppkgx\setup.exe

SUPPRIME Temporaires Windows: : 32

SUPPRIME Flash Cookies: 0

 

 

========== Récapitulatif ==========

3 : Clé(s) du Registre

3 : Valeur(s) du Registre

2 : Dossier(s)

3 : Fichier(s)

 

 

========== Chemin du fichier rapport ==========

C:\Program Files\ZHPDiag\ZHPFixReport.txt

 

 

End of the scan

je précise que je n'ai pas eu a redemmaré et que j'ai été obligé de relancé explorer.exe "à la main"

 

a mon arrivé ce matin avira ma trouvé ca :

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : samedi 25 juin 2011 12:00

 

La recherche porte sur 2825893 souches de virus.

 

Le programme fonctionne en version intégrale illimitée.

Les services en ligne sont disponibles.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : BASCULE

 

Informations de version :

BUILD.DAT : 10.0.0.135 31823 Bytes 18/04/2011 14:35:00

AVSCAN.EXE : 10.0.4.2 442024 Bytes 28/04/2011 03:24:28

AVSCAN.DLL : 10.0.3.0 56168 Bytes 04/02/2011 11:09:07

LUKE.DLL : 10.0.3.2 104296 Bytes 04/02/2011 11:08:56

LUKERES.DLL : 10.0.0.0 13672 Bytes 04/02/2011 11:09:08

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 11:09:03

VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 19:24:04

VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 07:16:50

VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 00:54:21

VBASE005.VDF : 7.11.8.179 2048 Bytes 31/05/2011 00:54:21

VBASE006.VDF : 7.11.8.180 2048 Bytes 31/05/2011 00:54:21

VBASE007.VDF : 7.11.8.181 2048 Bytes 31/05/2011 00:54:22

VBASE008.VDF : 7.11.8.182 2048 Bytes 31/05/2011 00:54:22

VBASE009.VDF : 7.11.8.183 2048 Bytes 31/05/2011 00:54:22

VBASE010.VDF : 7.11.8.184 2048 Bytes 31/05/2011 00:54:22

VBASE011.VDF : 7.11.8.185 2048 Bytes 31/05/2011 00:54:22

VBASE012.VDF : 7.11.8.186 2048 Bytes 31/05/2011 00:54:22

VBASE013.VDF : 7.11.8.222 121856 Bytes 02/06/2011 00:54:30

VBASE014.VDF : 7.11.9.7 134656 Bytes 04/06/2011 00:54:16

VBASE015.VDF : 7.11.9.42 136192 Bytes 06/06/2011 00:54:28

VBASE016.VDF : 7.11.9.72 117248 Bytes 07/06/2011 00:54:27

VBASE017.VDF : 7.11.9.107 130560 Bytes 09/06/2011 00:54:20

VBASE018.VDF : 7.11.9.143 132096 Bytes 10/06/2011 00:54:32

VBASE019.VDF : 7.11.9.172 141824 Bytes 14/06/2011 00:54:24

VBASE020.VDF : 7.11.9.214 144896 Bytes 15/06/2011 00:54:27

VBASE021.VDF : 7.11.9.244 196608 Bytes 16/06/2011 22:19:19

VBASE022.VDF : 7.11.10.28 152576 Bytes 20/06/2011 08:12:37

VBASE023.VDF : 7.11.10.53 210432 Bytes 21/06/2011 08:12:37

VBASE024.VDF : 7.11.10.88 132096 Bytes 24/06/2011 08:12:37

VBASE025.VDF : 7.11.10.89 2048 Bytes 24/06/2011 08:12:37

VBASE026.VDF : 7.11.10.90 2048 Bytes 24/06/2011 08:12:38

VBASE027.VDF : 7.11.10.91 2048 Bytes 24/06/2011 08:12:38

VBASE028.VDF : 7.11.10.92 2048 Bytes 24/06/2011 08:12:38

VBASE029.VDF : 7.11.10.93 2048 Bytes 24/06/2011 08:12:38

VBASE030.VDF : 7.11.10.94 2048 Bytes 24/06/2011 08:12:38

VBASE031.VDF : 7.11.10.104 52224 Bytes 24/06/2011 08:12:38

Version du moteur : 8.2.5.24

AEVDF.DLL : 8.1.2.1 106868 Bytes 04/02/2011 11:08:46

AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 27/05/2011 00:54:26

AESCN.DLL : 8.1.7.2 127349 Bytes 04/02/2011 11:08:45

AESBX.DLL : 8.2.1.34 323957 Bytes 02/06/2011 00:54:35

AERDL.DLL : 8.1.9.9 639347 Bytes 25/03/2011 19:35:32

AEPACK.DLL : 8.2.6.9 557429 Bytes 16/06/2011 00:54:32

AEOFFICE.DLL : 8.1.1.25 205178 Bytes 02/06/2011 00:54:35

AEHEUR.DLL : 8.1.2.132 3567992 Bytes 25/06/2011 08:12:41

AEHELP.DLL : 8.1.17.2 246135 Bytes 20/05/2011 00:54:23

AEGEN.DLL : 8.1.5.6 401780 Bytes 20/05/2011 00:54:23

AEEMU.DLL : 8.1.3.0 393589 Bytes 04/02/2011 11:08:38

AECORE.DLL : 8.1.21.1 196983 Bytes 25/05/2011 00:54:16

AEBB.DLL : 8.1.1.0 53618 Bytes 04/02/2011 11:08:37

AVWINLL.DLL : 10.0.0.0 19304 Bytes 04/02/2011 11:08:50

AVPREF.DLL : 10.0.0.0 44904 Bytes 04/02/2011 11:08:49

AVREP.DLL : 10.0.0.10 174120 Bytes 18/05/2011 00:54:31

AVREG.DLL : 10.0.3.2 53096 Bytes 04/02/2011 11:08:49

AVSCPLR.DLL : 10.0.4.2 84840 Bytes 28/04/2011 03:24:28

AVARKT.DLL : 10.0.22.6 231784 Bytes 04/02/2011 11:08:46

AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 04/02/2011 11:08:48

SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 13:28:02

AVSMTP.DLL : 10.0.0.17 63848 Bytes 04/02/2011 11:08:49

NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 13:28:01

RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 10/02/2010 23:23:03

RCTEXT.DLL : 10.0.58.0 99688 Bytes 04/02/2011 11:09:08

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Disques durs locaux

Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\alldiscs.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: arrêt

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Sélection de fichiers intelligente

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : samedi 25 juin 2011 12:00

L’entrée de registre <HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr> a été supprimée.

L’entrée de registre <HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools> a été supprimée.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avnotify.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sqlservr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'vssvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'cli.exe' - '1' module(s) sont contrôlés

Processus de recherche 'cli.exe' - '1' module(s) sont contrôlés

Processus de recherche 'prowin32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sqlwriter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sqlbrowser.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'daemonupd.exe' - '1' module(s) sont contrôlés

Module infecté -> <C:\Documents and Settings\NetworkService\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe>

[RESULTAT] Contient le cheval de Troie TR/Spy.19456.228

[REMARQUE] Le processus 'daemonupd.exe' a été arrêté

[REMARQUE] L’entrée de registre <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\nvUpdService\ImagePath> a été supprimée.

[REMARQUE] L’entrée de registre <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nvUpdService\ImagePath> a été supprimée.

[REMARQUE] L’entrée de registre <HKEY_LOCAL_MACHINE\System\ControlSet002\Services\nvUpdService\ImagePath> a été supprimée.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4ab1e1.qua' !

Processus de recherche 'NMSAccessU.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GhostStartService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avshadow.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'java.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AdmSrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'eEBSVC.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CNAB3RPK.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'WindowsSearch.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SuperCopier2.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CLI.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'GhostStartTrayApp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleCrashHandler.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

 

Le registre a été contrôlé ( '1725' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <System>

 

 

Fin de la recherche : lundi 27 juin 2011 07:31

Temps nécessaire: 43:30:50 Heure(s)

 

La recherche a été interrompue !

 

34 Les répertoires ont été contrôlés

3028 Des fichiers ont été contrôlés

1 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

1 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de scanner des fichiers

3027 Fichiers non infectés

5 Les archives ont été contrôlées

0 Avertissements

1 Consignes

 

 

merci

[Apollo]

Bonjour,

 

J'ai été absent depuis vendredi

 

ESET ONLINE SCANNER

 

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

http://download.eset.com/special/eos/esetsmartinstaller_enu.exe

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
  
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
  
• Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."
   
  
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
  
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
   
  
• Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
  
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
   
  
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
  
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
  

 

Nota : ce scan peut être très long et prendre plusieurs heures.

 

++

[ero-sennin]

Bonjour, effectivement le scan fu long.

par contre je n'ai pas vu le bonton export

mais eset n'a rien trouvé

voici le log que j'ai trouvé:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6427

# api_version=3.0.2

# EOSSerial=836e8b78a340ff468293c54f51a6624b

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2011-06-27 04:15:32

# local_time=2011-06-27 06:15:32 (+0100, Paris, Madrid (heure d'été))

# country="France"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 526092 526092 0 0

# compatibility_mode=768 16777215 100 0 101449243 101449243 0 0

# compatibility_mode=1797 16775125 100 93 154455 43334774 5737 0

# compatibility_mode=8192 67108863 100 0 140 140 0 0

# scanned=185920

# found=0

# cleaned=0

# scan_time=16010

 

je ne sais pas si ca va?

[Apollo]

Bonjour,

 

Oui, ça va; il n'a rien trouvé de mauvais.

 

Quand le résident t'informe d'une infection, c'est qu'elle est toute récente ou correspond à une page piégée qui tente d'infecter le pc; il fait donc son boulot de gardien.

 

Comment va le pc?

 

++

[ero-sennin]

Écoute il va bien pas de souci particulier.

pour avira il m'a trouvé ça lors d'un scan planifié je pense.

Module infecté -> <C:\Documents and Settings\NetworkService\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe>

[RESULTAT] Contient le cheval de Troie TR/Spy.19456.228

c'est cet entrée qui me semblait bizarre je vais refaire un scan.

j'ai lu sur ton site que tu déconseille antivir mois il ne m'a pas installé de toolbar.Que conseille tu a la place?

 

Pour ton gestionnaire de mot de passe, ça m'a l'air intéressant mais comment fais tu si tu veut te connecté depuis un autre PC?

[Apollo]

Re,

 

Je suppose que c'est la dernière version d'Antivir qui installait la toolbar néfaste.

Mais je ne suis pas utilisateur Avira, et s'il avaient choisi de ne plus imposer cette saleté d'Ask TB, ce serait tant mieux pour tout le monde.

 

Pour le manager de mots de passe, j'utilise celui de Kaspersky et il a une fonction pour les supports amovibles (clé usb par exemple).

 

Je ne sais pas pour Keepass, il faudrait voir le tuto.

 

 

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie A vérifier de temps en temps, important!

 

Le PSI n'est pas obligatoire mais il peut se révéler utile pour connaître les failles dans diverses applications.

 

@++

[ero-sennin]

J'ai essayer tes vérifications mais j'ai du mal à mettre java à jour, il me dit qu'un programme est ouvert et qu'il doit le fermer, je clic sur oui et il redémarre "explorer".

[ero-sennin]

c bon j'ai reussi a mettre a jour

[Apollo]

Bonjour,

 

Télécharge la version "hors ligne" et enregistre l'exécutable sur le bureau.

 

Ferme toutes les fenêtres et applications ouvertes.

 

Installe ensuite la console java: Téléchargements Java pour tous les systèmes d'exploitation

 

++

 

edit: ok.

[ero-sennin]

Tu pense que c'est bon que le pc est sains?

Au passage cool le gestionnaire de mot de passe je suis convaincu.

Encore merci pour le temp que tj a passer sur mon cas et de ton efficacité

Modifié le 29 juin 2011 par ero-sennin