virus

[cedric69009]

bonjour a tous apres une analyse de mon pc en ligne mon pc reste infecte par une vingtaine de virus que puis-je faire svp?

[megataupe]

Bonjour cedric et bienvenue sur le forum Zébulon Sécurité

 

Si tu crains que ton PC est infecté, commence par faire un peu de ménage dans le système :

 

lance l'Explorateur Windows et supprime le contenu de

--- C:\Temp

--- C:\Windows\Temp

suppression des fichiers inutiles par :

-----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

----- EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; [red](à faire avec Internet Explorer) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent

examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve

examen antispyware par

------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve

----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve.

 

Ensuite poste un nouveau rapport hijackthis avec la dernière version du logiciel :

- télécharger HijackThis de Merijn Belekom

http://www.merijn.org/files/hijackthis.zip

- l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp)

- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.

- cliquer sur 'Scan', l'affichage est instantané.

- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.

- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.

- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.

- attendre l'analyse et la réponse.

 

 

Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

[ipl_001]

Bonsoir cedric69009, megataupe, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum !

 

Suis les directives de megataupe...

 

Peux-tu être plus précis concernant le cas, s'il te plaît :

- tu as fait un scan AV... quel antivirus ? quels sont les malwares trouvés ? où (chemin et nom du fichier ; pas dans System Volume Information par hasard ?) ? y a-t-il eu suppression de fichiers ?

[cedric69009]

Bonjour Mégataupe, bonjour Ipl_001, bonjour tous !

 

Après bien des péripéties, je suis en mesure de fournir un scan de hijackthis que voici :

 

Logfile of HijackThis v1.99.1

Scan saved at 15:11:19, on 22/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {ABB08127-7417-11D4-8566-00500448008D} (Chat Class) - http://downloads.winwise.fr/Common/npchatlax.cab

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

Merci beaucoup de votre aide !

[megataupe]

Bien, mis à part deux ActiveX en 016 (attendre l'avis des spécialistes pour savoir s'il faut les fixer), ton log me semble propre maintenant (le nettoyage a été efficace ).

[cedric69009]

Désolé j' avais oublié mon scan antivirus en ligne dont voici le rapport :

 

Incident Statut Analyse

 

Adware:Adware/SaveNow No Désinfecté Registre Windows

Adware:Adware/Gator No Désinfecté C:\WINDOWS\gator*.log

Adware:Adware/MyWay No Désinfecté C:\Program Files\MyWay

Adware:Adware/KeenValue No Désinfecté C:\WINDOWS\browserxtras\pn\remove.exe

Adware:Adware/Twain-Tech No Désinfecté C:\WINDOWS\smdat32a.sys

Spyware:Spyware/Altnet No Désinfecté C:\DOCUME~1\cedric\LOCALS~1\Temp\ADMCache

Adware:Adware/P2PNetworking No Désinfecté Registre Windows

Spyware:Spyware/Cydoor No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\cd_clint.dll

Spyware:Spyware/Altnet No Désinfecté

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\adm.exe

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\adm25.dll

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\adm4.dll

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\admdloader.dll

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\admfdi.dll

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\admprog.dll

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\dmfiles.cab

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\dmfiles.cab[AltnetUninstall.exe]

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\dmfiles.cab[asmend.exe]

Adware:Adware/MyWay No Désinfecté C:\WINDOWS\Temp\Altnet\mysearch.cab

Adware:Adware/MyWay No Désinfecté C:\WINDOWS\Temp\Altnet\mysearch.cab[mySetp.exe]

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\pmexe.cab

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\pmexe.cab[Points Manager.exe]

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\pmfiles.cab

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\pmfiles.cab[sysdetect.dll]

Spyware:Spyware/Altnet No Désinfecté C:\WINDOWS\Temp\Altnet\Setup.exe

Adware:Adware/Gator No Désinfecté C:\WINDOWS\GatorUninstaller_cme.log

Adware:Adware/Gator No Désinfecté

( je ne l' ai pas fait avec secuser.com car il ne reconnaissait pas mon browser)

[megataupe]

As-tu essayé celui-là ?:

 

http://fr.trendmicro-europe.com/index_consumer.php

[cedric69009]

Je l' ai effectivement essayé mais il ne reconnait pas mon navigateur peut devrais je réparer internet explorer ?

[megataupe]

Tu charges Firefox (beaucoup plus sur qu'IE) et tu pourras faire le scan sur Trendmicro, sinon tu peux essayer celui de Panda qui va charger des ActiveX pour faire le scan avec Internet Explorer :

 

http://www.pandasoftware.com/activescan/fr...n_principal.htm

Modifié le 22 mai 2005 par megataupe

[cedric69009]

C' est exactement ceque j' ai fais sur ce je m' en vais analyser avec trend , merci beaucoup mégataupe !