Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Attaque du virus Win32/heur

sylvainj2

Par sylvainj2
dans Analyses et éradication malwares

 Partager

Messages recommandés

sylvainj2 Extrem Member

sylvainj2

Posté(e)
Posté(e) (modifié)

salut à tous

AVG a bloqué et supprimé un attaque du virus Win32/heur

voici le log: HijackThis

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 18:50:27, on 26/01/2013

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\PROGRA~1\AVG\AVG2013\avgrsx.exe

C:\Program Files\AVG\AVG2013\avgcsrvx.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Program Files\IObit\Advanced SystemCare 5\ASCService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Tablet\Pen\Pen_TouchService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Intel\AMT\atchksrv.exe

C:\Program Files\AVG\AVG2013\avgidsagent.exe

C:\Program Files\AVG\AVG2013\avgwdsvc.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\LogMeIn Rescue Applet\LMIR0001.tmp\LMI_Rescue_srv.exe

C:\Program Files\Intel\AMT\LMS.exe

C:\Program Files\AVG\AVG2013\avgnsx.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\PDF Complete\pdfsvc.exe

C:\Program Files\Tablet\Pen\Pen_Tablet.exe

C:\Program Files\Intel\AMT\UNS.exe

C:\Program Files\Tablet\Pen\Pen_TouchUser.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Tablet\Pen\Pen_TabletUser.exe

C:\Program Files\Tablet\Pen\Pen_Tablet.exe

C:\Program Files\AVG\AVG2013\avgui.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\uTorrent\uTorrent.exe

C:\sylsyl\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Hotmail.fr, Messenger, Skype, Actualité, Sport, People, Femmes - MSN France

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Hotmail.fr, Messenger, Skype, Actualité, Sport, People, Femmes - MSN France

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [AVG_UI] "C:\Program Files\AVG\AVG2013\avgui.exe" /TRAYONLY

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [Advanced SystemCare 5] "C:\Program Files\IObit\Advanced SystemCare 5\ASCTray.exe" /AutoStart

O9 - Extra button: PokerStars.fr - {90EAE591-7E7E-434a-8E28-ECFD00071806} - C:\Program Files\PokerStars.FR\PokerStarsUpdate.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184157064328

O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1358901920546

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: linkscanner - (no CLSID) - (no file)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Advanced SystemCare Service 5 (AdvancedSystemCareService5) - IObit - C:\Program Files\IObit\Advanced SystemCare 5\ASCService.exe

O23 - Service: Intel® Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Program Files\Intel\AMT\atchksrv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2013\avgidsagent.exe

O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2013\avgwdsvc.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: LogMeIn Rescue (d51217f4-9a41-44c2-9de4-eefced494e18) (LMIRescue_d51217f4-9a41-44c2-9de4-eefced494e18) - LogMeIn, Inc. - C:\Documents and Settings\Administrateur\Local Settings\Application Data\LogMeIn Rescue Applet\LMIR0001.tmp\LMI_Rescue_srv.exe

O23 - Service: Intel® Active Management Technology Local Management Service (LMS) - Intel - C:\Program Files\Intel\AMT\LMS.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe

O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe

O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Program Files\Tablet\Pen\Pen_Tablet.exe

O23 - Service: Wacom Consumer Touch Service (TouchServicePen) - Wacom Technology, Corp. - C:\Program Files\Tablet\Pen\Pen_TouchService.exe

O23 - Service: Intel® Active Management Technology User Notification Service (UNS) - Intel - C:\Program Files\Intel\AMT\UNS.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

 

--

End of file - 8979 bytes

 

 

 

merci de votre aide

Modifié par sylvainj2
Lien vers le commentaire
Partager sur d’autres sites

tomtom95 Devil Member !

tomtom95

Posté(e)
Posté(e)

Bonsoir sylvainj2

 

Rien d'inquiétant sur ce rapport.

 

  • Télécharge
MalwareByte's sur ton Bureau
 
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Pour l'installation Choisir la version gratuit Décoche la case Activer d'essai ......pro
Une fois l'installation et la mise à jour effectuées :
Exécute maintenant MalwareByte's Anti-Malware.
Sélectionne "Exécuter un examen complet".
Afin de lancer la recherche clique sur"Rechercher".
Coche toutes les cases de tes lecteurs
clique de nouveau sur"Rechercher"
Une fois le scan terminé une fenêtre s'ouvre clique sur OK.
 
Si des infections sont présentes
Clique sur "Supprimer la sélection".
Enregistre le rapport sur ton Bureau.
poste le rapport dans ta prochaine réponse.
 
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression accepte en cliquant sur Ok.

 

A+

Lien vers le commentaire
Partager sur d’autres sites
sylvainj2 Extrem Member

sylvainj2

Posté(e)
  • Auteur
Posté(e)

salut tomtom95,

merci pour ton aide, Malwarebytes, n'a rien trouvé mais voici son rapport:

par contre AVG a encore supprimé pluieurs attaques de win32/heur cette nuit pendant l'analyse de Malwarebytes.

j'ai mis en fin de rapport un lien pour identification du virus.

 

Malwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org

 

Version de la base de données: v2013.01.26.11

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Administrateur :: HP22255242603 [administrateur]

 

27/01/2013 01:59:34

mbam-log-2013-01-27 (01-59-34).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 305052

Temps écoulé: 54 minute(s), 37 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

© CJoint.com, 2012

 

 

merci de ton aide

Lien vers le commentaire
Partager sur d’autres sites
tomtom95 Devil Member !

tomtom95

Posté(e)
Posté(e)

Bonjour sylvainj2

 

Tu as téléchargé ton logiciel Photoshop CS6 avec ton programme µTorrent PeerToPeer source d’infections multiples.

A lire >> Les risques du peer-to-peer

Ou s'est une version que tu as achetée ?

 

Avant de définir que c'est un faux positif d'AVG (photoshopCS6\dynamic link.dll)

 

Fait une analyse de ton ordinateur avec cette procédure.


  • Télécharge
ZHPDiag de Nicolas Coolman sur ton Bureau
 
Double-cliquer sur ZHPDiag.exe pour installer l'outil
Lance l'outil : double-clique sur ZHPDiag pour XP
A Droite en haut
clique sur le bouton option tournevis.jpg
 
Puis a gauche le bouton TOUS
 
Clique sur la Loupeloupe-334dd63.png en haut à gauche pour débuter l'analyse
Le rapport généré par l'outil se nomme ZHPDiag.txt
héberger le fichier contenant ce rapport sur http://cjoint.com/ Poste le lien dans ta prochaine réponse.

 

A+

Lien vers le commentaire
Partager sur d’autres sites
tomtom95 Devil Member !

tomtom95

Posté(e)
Posté(e)

Bonsoir sylvainj2

 

Rien en apparence de néfaste sur cette partition.

Tu ne ma pas répondu PhotoshopCS6 c'est une version cracker ?

 

Désactive provisoirement ton Antivirus

  • Télécharge
SFT.exe de pierre13 sur ton bureau pas ailleurs
Lance l'outil : double-clique sur SFT.exe pour XP
Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer
Un rapport va s'ouvrir à la fin.
Ne poste pas ce rapport sur le forum.
Le rapport est parfois trés long
l'héberger le sur http://cjoint.com/
Le rapport se trouve sur le bureau (SFT.txt)

 

Ensuite vide la quarantaine d'AVG puis refait un scanne complet du Pc post son rapport stp.

 

A+

Lien vers le commentaire
Partager sur d’autres sites
sylvainj2 Extrem Member

sylvainj2

Posté(e)
  • Auteur
Posté(e) (modifié)

bonsoir,

merci encore de ton aide,

Tu ne ma pas répondu PhotoshopCS6 c'est une version cracker; c'est une version dévaluation pour l'instant mais je n'ai pas été au bout du téléchargement.et je ne l'ai pas installé sur mon pc

voici le log de SFT:

© CJoint.com, 2012

 

merci A+

une petite question c'est quoi un "faux positif d'AVG"

Modifié par sylvainj2
Lien vers le commentaire
Partager sur d’autres sites
tomtom95 Devil Member !

tomtom95

Posté(e)
Posté(e)

RE

 

une petite question c'est quoi un "faux positif d'AVG"

Ton antivirus trouve un faux fichier néfaste

 

PhotoshopCS6 il y a plusieurs fichiers sur ton pc.

Supprime >> C:\Documents and Settings\Administrateur\Mes documents\Downloads\PhotoshopPortable\App\PhotoshopCS6

 

Passe ensuite ccleaner nettoyeur et registre

 

Si AVG ne trouve plus rien

Tu peux marquer ton sujet marquer comme résolu

Comment afficher son sujet comme étant résolu

 

A+

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...